Empresa de marketing online expõe mais de 38 milhões de registros de cidadãos dos EUA

Views: 427

A equipe de pesquisa da CyberNews descobriu um bucket de dados não-inseguro que pertence à View Media, uma empresa de marketing online. O bucket contém cerca de 39 milhões de registros de cidadãos americanos, incluindo seus nomes completos, endereços de e-mail e ruas, números de telefone e CEP.

O banco de dados foi deixado em um servidor Amazon Web Services (AWS) acessível ao público, permitindo que qualquer pessoa acesse e baixe os dados. Após o vazamento de e-mail de 350 milhões coberto pela CyberNews no início de agosto, esta é a segunda vez neste verão que encontramos um bucket da Amazon inseguro contendo quantidades tão enormes de dados de usuários.

Em 29 de julho, o bucket view media exposto foi fechado pela Amazon e não está mais acessível.

Para ver se seu endereço de e-mail foi exposto nesta ou em outras violações de segurança, use nosso verificador de vazamento de dados pessoais.

Que dados estão no balde?

O bucket Amazon S3 disponível publicamente continha 5.302 arquivos, incluindo:

• 700 documentos de trabalho para campanhas de publicidade direcionadas e e-mails armazenados em arquivos PDF
• 59 arquivos CSV e XLS que continham 38.765.297 registros de cidadãos americanos no total, dos quais 23.511.441 registros eram únicos

Os arquivos de registro de usuário foram criados com base em locais e CEP que as campanhas da empresa de marketing estavam mirando e continham nomes completos, endereços, CEP, e-mails e números de telefone de pessoas sediadas nos EUA.

Além da declaração de documentos de trabalho e registros de usuários, o balde continha milhares de arquivos para vários materiais de marketing, como anúncios de banners, boletins informativos e folhetos promocionais.

Exemplos de registros expostos

Aqui estão alguns exemplos dos registros de usuários e declaração de documentos de trabalho deixados no bucket de acesso público.

A maioria dos arquivos CSV contêm registros de usuários para o que assumimos ser demografia-alvo para materiais de marketing digital ou físico.

A declaração de documentos de trabalho para campanhas de marketing data entre 2018 e 2019:

Quem é o dono do bucket?

O bucket Amazon S3 não inseguro parece pertencer à View Media, uma empresa de marketing online especializada em e-mail marketing, publicidade de exibição, design, hospedagem, e-mails diretos, vendas de datas e outros serviços de marketing digital. A empresa oferece serviços de marketing direcionados para marcas de publicação americanas como Tribune Media e Times Media Group.

Além de milhões de registros de cidadãos dos EUA, o bucket também contém milhares de boletins informativos de marketing, designs de folhetos promocionais, anúncios de banner e declaração de documentos de trabalho criados pela View Media para seus clientes.

Quem teve acesso?

O bucket foi hospedado em um servidor Amazon AWS que foi exposto por um período desconhecido e não está claro se algum mau ator acessou os dados armazenados nele.

Dito isso, baldes da Amazon não inseguros são relativamente fáceis de encontrar e acessar sem qualquer tipo de autorização, o que significa que qualquer um que saiba onde procurar poderia ter baixado os arquivos.

Qual é o impacto?

Embora os arquivos no bucket Amazon S3 não seguro não contenham informações pessoais profundamente sensíveis, como cpf ou números de cartão de crédito, os cibercriminosos podem usar os dados pessoais no banco de dados para uma variedade de propósitos maliciosos:

• Os golpistas podem usar os nomes, endereços de e-mail e números de telefone das pessoas expostas para uma grande variedade de esquemas fraudulentos
• Detalhes simples de contato podem ser suficientes para spammers e phishers lançarem ataques direcionados contra mais de 38 milhões de americanos expostos de múltiplos ângulos, como robocalls, mensagens de texto, e-mails e campanhas de engenharia social
• Cibercriminosos determinados podem combinar os dados encontrados neste balde com outras violações de dados para construir perfis de alvos potenciais para roubo de identidade

O que aconteceu com os dados?

Como inicialmente não conseguimos identificar o dono do bucket sem segurança, contatamos a Amazon em 27 de julho para ajudá-los a proteger o banco de dados. Eles foram capazes de fechar o balde em 29 de julho.

Em seguida, entramos em contato com um dos clientes da empresa de marketing mencionados na declaração de documentos de trabalho que estavam armazenados no bucket, que nos ajudou a identificar a View Media como a proprietária do banco de dados em 21 de agosto. Em 24 de agosto, contatamos a View Media para um comentário oficial sobre o vazamento. No entanto, não recebemos nenhuma resposta da empresa.

Deveria se preocupar e o que fazer se foi afetado?

Se você é um cidadão americano, há uma chance de que seus dados possam ser expostos neste vazamento. Para ver se você foi afetado por esta violação, recomendamos fazer o seguinte:

1. Use nosso verificador de vazamento de dados pessoais para ver se seu endereço de e-mail foi vazado.
2. Se o seu e-mail estiver entre os que vazaram, altere imediatamente sua senha de e-mail.
3. Fique atento a possíveis e-mails de phishing e e-mails de spam. Não clique em nada suspeito, seja um e-mail, uma mensagem de texto ou qualquer link nele.

FONTE: SECURITY AFFAIRS