Miles de personas cuyos datos personales fueron exfiltrados y filtrados públicamente por la banda de ransomware Play luego de un ataque cibernético a los sistemas de la red nacional de concesionarios de automóviles Arnold Clark en 2022 ahora se presentan para participar en lo que puede convertirse en una de las demandas legales de acción grupal más grandes. aún visto en el Reino Unido.
El incidente comenzó el 23 de diciembre de 2022.y su impacto inicial hizo que los concesionarios de Arnold Clark se vieran obligados a recurrir a lápiz y papel para registrar las transacciones, mientras que cientos de personas que esperaban recoger sus autos nuevos quedaron temporalmente decepcionados.
La firma con sede en Glasgow, que es uno de los concesionarios de automóviles familiares más grandes y más antiguos del Reino Unido, dijo inicialmente que los datos de sus clientes estaban seguros.
Sin embargo, el 22 de enero de 2023, el correo el domingo reveló que este no era el caso después de que Play filtrara un tramo de datos de 15 GB en la dark web.
Estos datos incluían identificación con foto del cliente, datos de pasaporte, datos bancarios, fechas de nacimiento y direcciones de domicilio, entre otras cosas.
Poco después, Arnold Clark reconoció que había sido víctima de una filtración de datos y, a fines de enero de 2023, la organización inició el proceso de envío de notificaciones a sus clientes en lotes escalonados.
Unas semanas más tarde, a mediados de febrero, se publicaron otros 30 GB de datos, seguidos por el volcado completo de datos, con un total de casi 470 GB, a fines de marzo.
La acción está encabezada por Keller Postman, un bufete de abogados que se especializa en ayudar a las víctimas de incidentes cibernéticos a obtener reparación, aunque hay otras acciones en curso.
Connor Hewitt, que trabaja en el sector de la seguridad cibernética, se encuentra entre los que se han sumado a la acción grupal de Keller Postman como cliente.
Hewitt le compró un automóvil a Arnold Clark hace unos años y, como parte de la venta, proporcionó una gran cantidad de información de identificación personal (PII) al concesionario de automóviles para permitirle realizar la debida diligencia y las verificaciones de crédito. Se le informó que sus datos se habían filtrado a mediados de febrero, unas semanas después de la correo el domingo rompió la historia.
“Recuerdo haber recibido la notificación: estaba en el gimnasio y recuerdo que apareció el correo electrónico”, dijo Hewitt. “Básicamente decía que creemos que sus datos se incluyeron en una violación de datos”.
Hewitt solo estaba ligeramente preocupado en esta etapa, ya que el correo La historia generó cierta discusión dentro de un chat grupal basado en el trabajo del que es miembro. El grupo comparte información sobre filtraciones para ayudarlo a él y a sus colegas a tener conversaciones más informadas sobre seguridad cibernética con sus clientes.
“Obviamente salió ese artículo y lo primero que me vino a la cabeza fue: ‘Les compré un auto, me pregunto si mi información es parte de esa brecha’. Y luego… recibí el correo electrónico para decir que mi información era parte de eso”, dijo.
Hewitt dice que ha visto múltiples intentos de fraude en su contra desde entonces. “No ha sido tan malo porque puedo detectarlos con bastante facilidad en función del trabajo que hago: hago capacitación sobre phishing todo el tiempo con los clientes”, dijo.
“Ha habido picos en… los gustos de Instagram, mensajes directos con enlaces, picos en las solicitudes de amistad de Facebook, de nuevo, un poco dudosos. Se han realizado 30, tal vez casi 40, verificaciones de crédito en mi contra. Recibí mensajes de texto de empresas que intentaban decir: ‘Tienes paquetes que están siendo entregados, por favor revisa este paquete’, y todo ese tipo de cosas. A veces eso también sucede cuando has pedido algo”.
Muchos de estos intentos de fraude fueron extremadamente crudos y fáciles de detectar, pero muchos han sido bastante sofisticados, y Hewitt dijo que estaba muy consciente de que miles de personas menos expertas en tecnología atrapadas en el incidente no han tenido tanta suerte.
De hecho, los fraudes relacionados con Arnold Clark ahora están apareciendo en todo el Reino Unido, dijo el abogado asociado de Keller Postman, Bill Singer.
“Numerosos clientes han descubierto evidencia de robo de identidad, por ejemplo, verificaciones de crédito no autorizadas, a veces docenas por día. De hecho, otros clientes han informado sobre fraudes”, dijo Singer.
“Un gran número de ellos están experimentando un nivel elevado de intentos de fraude, toda una variedad de phishing, mensajes de redes sociales, mensajes de texto. Muchos también han recibido llamadas en frío, por ejemplo, llamadas falsas del departamento de fraude de su banco. Están viendo una amplia variedad de actividades delictivas cibernéticas”.
Singer dijo que no era posible dar una cifra sobre cuál podría ser la pérdida promedio por reclamante, pero en los casos en que los fraudes han tenido éxito, han variado en valor desde débitos directos por unas pocas libras que se establecieron en las cuentas bancarias de las víctimas, a los intentos de obtener artículos y servicios de alto valor, muchos de los cuales han tenido éxito.
Un reclamante, irónicamente, descubrió que su identidad había sido robada cuando llegó a su casa una carta de un concesionario Volkswagen, felicitándolos por la compra de un Golf de £ 38,000, que seguramente no estaba estacionado en su camino de entrada.
“Ya sea que el fraude sea pequeño o grande, tiene las mismas consecuencias”, dijo Singer. “Aún necesitas recuperar tu dinero. Todavía necesita dedicar más tiempo a protegerse contra futuros fraudes. Es posible que tenga un puntaje de crédito afectado: tengo clientes a los que se les ha negado crédito en autos nuevos debido a todos estos intentos de robo de identidad”.
Se insta a los afectados a que se presenten para unirse a las más de 10.000 personas que ya se han inscrito como posibles reclamantes. Se pueden encontrar más detalles en el sitio web de Keller Postman.
Singer le dijo a Computer Weekly que el caso contra Arnold Clark aún se encuentra en la fase de recopilación de pruebas antes de un posible proceso judicial, pero los abogados alegaron responsabilidad y presentaron su reclamo a Arnold Clark. Actualmente están esperando su respuesta.
Keller Postman y sus clientes también esperan el resultado de la investigación de la Oficina del Comisionado de Información (ICO) sobre si Arnold Clark ha incumplido o no alguna de sus obligaciones legales en virtud del Reglamento General de Protección de Datos (GDPR).
“Esperaremos ansiosamente el resultado de la investigación de la ICO. Nosotros [also] saber que el ICO está investigando al menos una queja de los clientes de Arnold Clark que no están satisfechos con el [response to the] violación de datos”, dijo Singer.
“El ICO tiene potestades multadoras muy fuertes [and] esperaríamos una multa amplia si se confirman las infracciones, pero lo que no pueden hacer es otorgar ninguna compensación a los clientes individuales que se quejan”.
Para Hewitt, el resultado ideal sería que Arnold Clark admitiera y aceptara la responsabilidad por el incumplimiento, pero también que compensara de manera justa a los afectados.
“Aunque estoy en una posición en la que puedo ver las amenazas tal como son… habrá personas que caerán en el phishing como lo hace la gente. Puede ser aterrador para muchas personas que los verán y realmente no entenderán lo que está sucediendo”, dijo.
Singer agregó: “Toda la esencia del caso es que Arnold Clark podría y debería haber hecho más”.
Computer Weekly contactó a la oficina de prensa de Arnold Clark para hacer comentarios sobre la investigación en curso, pero la organización no había respondido al momento de la publicación.