Sospechoso...😂

🖥PcComponentes niega haber sido hackeado

Recientemente un usuario reportaba haber tenido acceso a muchísima información de clientes de PcComponentes (DNIs, Direcciones, números de teléfonos, tickets de consultas etc...) pero PcComponentes ha negado haber sufrido un hackeo o brecha de seguridad en sus sistemas, aclarando que no se ha producido acceso ilegítimo a sus bases de datos internas.

Según la empresa, el incidente se debe a un "credential stuffing", donde atacantes usan credenciales filtradas de otros sitios para probar accesos automáticos en su plataforma, afectando a usuarios que reutilizan contraseñas.

No se expusieron datos bancarios ni contraseñas almacenadas por ellos según dicen, y la cifra de 16 millones de cuentas afectadas es falsa, ya que el número real de cuentas activas es mucho menor.

La compañía implementó:
· Captcha para el inicio de sesión.
· Autenticación en 2 pasos.
· Invalidación de sesiones activas.

💻¿PcComponentes miente?

El hacker conocido como dagheliaw ha liberado muchísima información para confirmar su filtración. Incluso filtrando los los email de acceso y contraseña de sus trabajadores para información tan sensible como el sistema de fichajes para lo empleados, el panel de administración, hasta el sistema interno que tienen para los seguimientos (tracking) de los pedidos de los usuarios.

No estaríamos hablando únicamente de accesos por reutilización de contraseñas, sino de un escenario en el que el atacante intenta demostrar el acceso a sistemas internos y cuentas corporativas, justo lo contrario de lo que PcComponentes sostuvo públicamente.

Estas información, que por las imágenes y todo los detalles que hay, se ven muy legítimas (ese usuario ya había filtrado en el pasado información relevante de compañías como MediaMarkt o Panrest -un símil de Glovo o Uber Eats en Polonia-)

El hacker lo deja claro:

Hola, hoy vamos a hablar de Pccomponentes.com, que niega la filtración de datos. Cuando mientes, tienes que prepararte para que salga a la luz la verdad. Por desgracia para ti, tengo todas las pruebas. Tuve acceso a todos tus paneles de administración, así como a tu servicio de asistencia. ¿Crees que ponerlo localmente (localhost) con una configuración OpenVPN te va a salvar? Por desgracia, no tienes ninguna habilidad.

Buena suerte, tus clientes ya no confiarán en ti. Sonríe. ¿Qué otra mentira vas a inventarte ahora? Siempre estaré aquí para destruirte y desenmascarar tus mentiras. Estoy esperando tu respuesta para destruirte aún más.

💻Microsoft da claves de cifrado de BitLocker

Un artículo de Forbes revela que Microsoft proporcionó claves de recuperación de BitLocker al FBI en 2025, permitiendo el acceso a datos encriptados en tres laptops relacionadas con un presunto esquema de robo de fondos del programa de asistencia por desempleo por Covid en Guam.

Este es el primer caso conocido donde Microsoft entrega tales claves a las autoridades, en respuesta a una orden judicial válida. La demandada, Charissa Tenorio, se declaró no culpable, y el caso continúa.

Microsoft confirmó que recibe alrededor de 20 solicitudes similares al año y solo proporciona claves cuando están almacenadas en sus servidores en la nube (¿A quien se le ocurre?)

El senador Ron Wyden y Jennifer Granick de la ACLU critican esta práctica, argumentando que socava la privacidad al permitir que el gobierno acceda a la totalidad de los datos en los discos duros, incluyendo información personal irrelevante para la investigación.

BitLocker, activado automáticamente en muchos PCs con Windows, encripta los datos del disco duro, pero el almacenamiento de claves en la nube de Microsoft facilita su entrega a agencias como el FBI o ICE bajo órdenes legales.