Datos privados de clientes que han pedido prestamos en Alkomprar disponibles en línea, sin ningún tipo de seguridad 

Fotografías del rostro, cédulas, datos de formularios crediticios y hasta información de acceso a plataforma que gestiona préstamos en línea, dentro de los datos privados encontrados, con fácil acceso, a un clic de distancia.

En una sección de la URL: https://fabricadecreditos.colcomercio.com.co/alkomprar se encontraron sin ninguna restricción más de 50 mil documentos con datos privados de usuarios del servicio de préstamos de la empresa Alkomprar, Colombiana de Comercio SA.

Un ciudadano preocupado, con un conocimiento estándar de cómo funciona Internet, descubrió por accidente la URL de acceso público y se comunicó con esta página para explicar su hallazgo y denunciar lo que sería un nuevo caso de mal manejo de datos donde información privada de colombianos pudo estar expuesta sin ninguna restricción. No se trata de ningún ataque digital. Es información privada de acceso público.

No se conoce cuánto tiempo esta información estuvo disponible en línea.

El rostro de las personas, dentro de los datos privados filtrados de la empresa Alkomprar

La página previamente relacionada, pudo corroborar la información entregada por el ciudadano. Al conocer la situación se intentaron comunicar con la empresa Corbeta, dueña de Alkomprar, donde advertimos la situación y realizamos preguntas que al cierre de este artículo no fueron respondidas. 

Podría interesarle: Ataque a FedEx usaría los datos de la cédula de millones de colombianos

Uno de los hechos más preocupantes es que dentro de los documentos expuestos se encuentran 15.231 documentos en formato PDF que tiene un registro del rostro de personas que presuntamente fueron a sacar un préstamos con la entidad. La imagen que acompaña este post pertenece a este tipo de documento en formato PDF al que lograron acceder tan solo visitando una url con la forma XXXXXXXX_documento_rostro.pdf. 

La página de la cual se originó esta investigación pudo preguntar a Alkomprar a través de una oficina de prensa si los datos del rostro tienen que ver con algún tipo de identificación biométrica y no se obtuvo respuesta. Igualmente se encontró acceso a 15,231 documentos en PDF que podrían ser datos de cédulas.

Igualmente, dentro de los documentos expuesto se encontraron 173 formularios elaborados en el 2022 donde se puede acceder a información como : documento de identificación, correo, fecha de nacimiento, Ciudad de residencias, teléfonos, Actividad económica, tipo de contrato, empresa donde trabaja, cargo, ingresos mensuales y egresos mensuales. 

No se necesita ser hacker para acceder a estos datos

Dentro de los datos publicados en línea y de la forma más ridícula e insegura posible se puede acceder a los datos privados de los analistas, probablemente de Alkomprar. 

En un documento como este está: el día en el cual accedieron a una plataforma, cédula, nombre, id de Usuario, hora de entrada, hora de salida, cuántos minutos tarde, el conteo en minutos de pausas, sí almorzó o no, cuántos recesos y el número de horas laboradas. 

Lea también: EPM, víctima de un ciberataque

Gracias a los datos consignados en este documento se podría acceder con facilidad a la plataforma que gestiona los créditos. Solo se necesita el id y la cédula para acceder. La página desde la cual se originó la investigación no comprobó este acceso ya que podría ser un delito, sin embargo, los datos están allí. 

FUENTE: Hyperconectado. »Datos privados de clientes que han pedido préstamos en Alkomprar disponibles en línea sin ningún tipo de seguridad» Muchohacker.lol. 12/10/2023. (https://muchohacker.lol/2023/01/datos-privados-de-clientes-que-han-pedido-prestamos-en-alkomprar-disponibles-en-linea-sin-ningun-tipo-de-seguridad/).