0
0
Um provedor de marketing digital dos EUA expôs quase três milhões de registros contendo informações pessoalmente identificáveis (PII) após outro erro de configuração em nuvem.
O snafu de privacidade da Friendemic, cujos principais clientes são supostamente concessionárias de carros dos EUA, foi descoberto por Aaron Phillips na Comparitech. Como é habitual nesses casos, os dados não criptografados foram deixados expostos à internet pública sem senha ou autenticação necessária para acessá-los.
Neste caso em particular, era um balde Amazon S3 não seguro que Phillips alegou ser um dump SQL ou backup de banco de dados, potencialmente criado para migrar dados entre servidores.
Ao todo, havia mais de 2,7 milhões de registros, incluindo nomes completos, números de telefone e endereços de e-mail, ao lado de 16 tokens OAuth armazenados em plaintext.
No entanto, exatamente a quem esses registros pertencem permanece um mistério: Friendemic disse à Comparitech que eles não estavam relacionados com clientes de seus clientes de concessionárias de carros. Também alegou que os tokens OAuth eram apenas para sistemas internos e não estavam mais em uso quando os dados foram expostos.
Para seu crédito, a empresa pareceu agir rapidamente ao ser informada do incidente, remediando o risco dentro de um dia.
“Embora nenhuma empresa queira que algo assim aconteça, estamos felizes por ter a vulnerabilidade corrigida”, observou em nota. “Obrigado por nos notificar e agir profissionalmente. Também notificamos nossos clientes sobre a situação e temos feito uma revisão completa e aprimoramento da nossa segurança de dados.”
No entanto, incidentes como esses são cada vez mais comuns e podem colocar os clientes em risco de ataques de phishing e fraude de identidade.
Há também o risco de que os atacantes possam roubar o banco de dados completamente e resgatar o conteúdo, ou mesmo destruir o que encontraram, de acordo com a recente onda de ataques “Miau”.
Uma pesquisa realizada no início deste ano descobriu que a configuração errada representa 82% de todas as vulnerabilidades de segurança hoje.
FONTE: INFOSECURITY MAGAZINE