Una conocida tienda estadounidense de tarjetas de regalo en línea expuso información sensible de cientos de miles de clientes. Documentos de identidad emitidos por el gobierno estuvieron públicamente accesibles en Internet debido a una grave brecha de seguridad.

Un investigador de seguridad, conocido bajo el pseudónimo JayeLTee, descubrió a finales de 2024 que un servidor de almacenamiento en línea de MyGiftCardSupply estaba expuesto sin protección, permitiendo el acceso público a documentos sensibles. Este servidor contenía licencias de conducir, pasaportes y selfies de clientes, materiales que la tienda utiliza como parte de sus controles de verificación de identidad bajo normas contra el lavado de dinero (KYC).

Según el investigador, el servidor almacenaba más de 600.000 imágenes correspondientes a aproximadamente 200.000 clientes. Entre los documentos, se incluían fotografías del anverso y reverso de identificaciones oficiales, lo que representa un serio riesgo de fraude y robo de identidad.

Reacción de la empresa y medidas correctivas.

Tras ser contactada por TechCrunch, MyGiftCardSupply confirmó la exposición de datos y aseguró haber resuelto el problema. Su fundador, Sam Gastro, afirmó que los archivos ya están protegidos y que se está realizando una auditoría completa de sus procedimientos KYC. Además, anunció que los documentos serán eliminados inmediatamente después de la verificación en el futuro.

Sin embargo, Gastro no indicó por cuánto tiempo estuvieron expuestos los datos ni confirmó si notificará a los clientes afectados. Esta falta de claridad ha generado preocupaciones adicionales sobre el manejo de datos por parte de la empresa.

Contexto y preocupaciones del sector.

Este incidente es el último de una serie de exposiciones de datos relacionados con procesos KYC, considerados críticos para la verificación de identidad en transacciones financieras. La exposición de documentos sensibles no solo afecta la privacidad de los clientes, sino que también plantea riesgos legales y reputacionales para las empresas responsables.

En un caso reciente, el sitio Roomster también expuso más de 320.000 documentos de identidad en una situación similar. Este tipo de brechas subraya la importancia de implementar medidas de seguridad robustas para proteger la información personal.

Lecciones y medidas preventivas.

La exposición masiva de datos por parte de MyGiftCardSupply enfatiza la necesidad de revisar y mejorar las prácticas de gestión de datos en la era digital. Las empresas deben garantizar que sus servidores estén protegidos adecuadamente y establecer protocolos estrictos para la eliminación de información sensible después de su uso.

La transparencia con los usuarios también es fundamental. Informar a los clientes sobre posibles brechas de seguridad no solo cumple con obligaciones legales en muchos países, sino que también ayuda a mitigar el impacto de los incidentes y fortalece la confianza en las marcas afectadas.

Con una regulación cada vez más estricta y la creciente concienciación de los consumidores sobre la privacidad de sus datos, el compromiso con la seguridad digital debe ser una prioridad para todas las empresas que manejan información sensible.