La web de Have I Been Pwned, que permite comprobar si nuestro correo electrónico o nuestro número de teléfono están en una filtración de datos, ha añadido esta mañana la base de datos filtrada de Phone House, con un total de 5.223.350 cuenta afectadas, bastantes más de 1 o 3 millones de cuentas de las que se hablaba en un principio, donde los propios hackers habían dicho que habían hackeado «sólo» 3 millones. Lo triste del asunto es que esta es sólo la primera parte de la filtración, así que habrá más cuentas afectadas como mínimo.

Actualización: en total se han filtrado los datos de 13 millones de personas, donde 3 millones son extranjeros y 10 millones son españoles. De momento la base de datos publicada por los hackers es de 5,2 millones, pero hay quien ya ha tenido acceso a la base de datos completa con todos los DNI de los afectados. Esto supone que en torno a 1 de cada 4 españoles está en la filtración.

El ataque tuvo lugar mediante el ransomware Babuk, creado por el grupo homónimo y que cifró todos los datos de la compañía. En ese proceso, obtuvieron toda la información de clientes y trabajadores de la empresa. Los atacantes afirmaron que consiguieron descargar 10 bases de datos de Oracle que incluyen todos los datos completos que el RPGD exige recopilar.

Entre esos datos encontramos nombre completo, DNI, fecha de nacimiento, correo electrónico, cuenta bancaria, número de teléfono, género, nacionalidad, y dirección física, con calle, ciudad y provincia. En el blog de Babuk en la Dark Web han publicado muestras de la base de datos que confirman la filtración, incluyendo fotos de muestra y el enlace de descarga. La cuenta bancaria parece que sólo se ha visto afectada si has contratado un seguro.

Dado el gran tamaño de Phone House en España, una parte importante de la población se ha visto afectada por este fallo. Además de clientes directos suyos, también aparecen en la base de datos clientes que han contratado su servicio de seguros a través de una subcontrata.

Phone House no se ha pronunciado todavía sobre el ataque

Phone House recibió una amenaza en la que, si no pagaban el rescate, los datos acabarían publicados en la red. La compañía no ha pagado, y por tanto han sido filtrados. La empresa todavía no ha hecho ningún comunicado al respecto, y deberían haber comunicado ya a la Agencia Española de Protección de Datos (AEPD) la filtración, pues la ley les obliga a hacerlo en menos de 72 horas. Además, también deberían comunicárselo a los usuarios afectados y no tener éstos que recurrir a servicios como Have I Been Pwned.

Si queréis comprobar si estáis afectados, tan sólo tenéis que ir a https://haveibeenpwned.com/ y poner vuestro email. Troy Hunt, quien lleva la web, no ha dicho de momento si va a añadir los números de teléfono para comprobarlos, tal y como sí hizo con Facebook. Debido a que los números están ordenados, no sería raro que los añadiese más adelante. Según afirma, el 58% de los correos de la filtración ya estaban presentes en Have I Been Pwned.