Datos persoais de centos de milleiros de usuarios de autoescola poderían terse filtrado

Unha presunta brecha de seguridade en Matferline, un dos principais provedores tecnolóxicos do sector das autoescolas en España, podería ter exposto os datos persoais de 703.450 estudantes segundo unha alerta difundida pola conta especializada en intelixencia de ameazas Hackmanac, que atribúe o ataque ao actor coñecido como macaroni e apunta ao uso dunha vulnerabilidade de inxección SQL (SQLi) para acceder ás bases de datos da compañía.
A información filtrada incluiría nomes completos, números de DNI, enderezos de correo electrónico, teléfonos móbiles, nomes de usuario, fotografías de perfil e mesmo contrasinais almacenados en texto plano. O incidente permanece pendente de verificación oficial, pero a gravidade potencial da filtración situou o caso no foco da comunidade de ciberseguridade.
Matferline ocupa unha posición central no ecosistema tecnolóxico das autoescolas españolas. Os seus sistemas serven de base para plataformas de test teóricos, software de xestión e materiais didácticos empregados por milleiros de centros de formación viaira. Isto implica que unha vulnerabilidade nun único provedor podería traducirse nunha exposición masiva de datos distribuídos por practicamente todas as provincias do país.
O aspecto máis preocupante da suposta filtración é a presenza de contrasinais en texto plano. A ausencia de cifrado ou hash nas claves de acceso representa un incumprimento das prácticas básicas de seguridade informática, xa que facilita o acceso inmediato ás contas comprometidas e incrementa o risco de reutilización de credenciais noutros servizos.
A combinación de DNI, teléfono, correo electrónico e contrasinais crea un escenario especialmente delicado para os afectados. Os datos poderían empregarse para campañas de phishing altamente personalizadas, fraudes por SMS, roubos de identidade ou intentos de acceso automatizado a outras plataformas nas que os usuarios empregasen a mesma clave.
Ata o momento non transcendeu ningunha comunicación pública detallada por parte de Matferline sobre o alcance real do incidente nin sobre posibles medidas de mitigación. Tampouco consta unha confirmación oficial da autenticidade da base de datos presuntamente extraída polos atacantes.