El jueves, la casa de subastas Christie’s informó que había alertado al FBI y a la policía británica sobre el ciberataque que afectó su sitio web a principios de este mes, y comenzó a informar a los clientes sobre qué tipos de datos personales se vieron comprometidos.
La compañía dijo en un correo electrónico a los clientes que ni sus datos financieros ni ninguna información sobre su actividad de ventas reciente se expuso en el hackeo. Pero dijo que se comprometieron algunos datos personales de los documentos de identificación de los clientes.
“Fueron datos de identidad personal provenientes de documentos de identificación, por ejemplo pasaportes y licencias de conducir, proporcionados como parte de los controles de identificación de los clientes, que Christie’s está obligado a retener por razones de cumplimiento”, dijo Jessica Stanley, portavoz de Christie’s, en un comunicado el jueves por la mañana. “No se tomaron fotografías de identificación, firmas, direcciones de correo electrónico o números de teléfono”.
Fue la primera vez que los funcionarios de Christie’s detallaron públicamente qué tipo de información los hackers podrían haber adquirido de sus registros sobre algunos de los coleccionistas de arte más ricos del mundo. La admisión se produjo unos días después de que un grupo llamado RansomHub se atribuyera el ciberataque y amenazara con publicar sus hallazgos sobre casi 500,000 clientes de la empresa. Anteriormente, la casa de subastas se refirió al ciberataque como un “incidente de seguridad tecnológica” e intentó calmar a los postores ansiosos con un sitio web temporal a pesar de las serias preocupaciones entre algunos empleados.
Los esfuerzos de la compañía por restar importancia al ciberataque tuvieron bastante éxito con los postores. Sus subastas de primavera de renombre, que comenzaron poco después del hackeo, lograron ventas por valor de $528 millones.
RansomHub, que se atribuyó el hackeo de Christie’s, escribió en la dark web que “intentamos llegar a una resolución razonable con ellos pero cesaron la comunicación a mitad de camino” y amenazaron con comenzar a liberar datos.
Christie’s dijo en su correo electrónico a los clientes que había notificado a las autoridades policiales pertinentes en Gran Bretaña y Estados Unidos. Las autoridades policiales no respondieron inmediatamente a una solicitud de comentarios.
En su correo electrónico a los clientes, Christie’s instó a las personas a revisar sus cuentas en busca de cualquier actividad inusual y escribió que les ofrecería “protección y servicios de monitoreo gratuitos contra el robo de identidad”.