Os pesquisadores de segurança Bob Diachenko e Vinny Troia identificaram um banco de dados completamente exposto na web com 1,2 bilhão de registros. O servidor foi encontrado sem nenhuma proteção de senha ou limitação de acesso, o que caracteriza um vazamento de dados.
O servidor foi retirado do ar após uma denúncia ao FBI, mas o órgão policial não comentou sobre nenhuma medida. O servidor estava alocado na plataforma do Google Cloud, que qualquer empresa pode contratar para armazenar ou processar informações — em outras palavras, não é possível afirmar que os dados pertenciam ao Google.
Cada registro podia ou não trazer outras informações, entre as quais a localização geográfica, o campo de atuação profissional, uma minibiografia e links para perfis em redes sociais, principalmente do LinkedIn. No total, 4 terabytes de informações estavam expostas.
Acredita-se que o servidor reunia quatro conjuntos de dados, sendo três da People Data Labs (PDL) e um da OxyData. Ambas são empresas especializadas no fornecimento de informações para marketing e recrutamento.
Os detalhes da coleta desses dados são desconhecidos. Acredita-que que os cadastrados correspondem a informações de perfis redes sociais, que podem ser extraídas com uma técnica conhecida como “scraping” ou “raspagem de dados”.
Descubra se os seus dados foram expostos
Os dados deste vazamento foram cadastrados no site Have I Been Pwned, que compila históricos de vazamento e disponibiliza consultas para o público.
Para verificar se o seu e-mail constava entre os 622 milhões de endereços vazados, basta digitá-lo na página do Have I Been Pwned e aguardar o relatório por e-mail.
Quem já tem cadastro no site receberá automaticamente um alerta.
Tecnologia é a mesma de outros vazamentos
O banco de dados exposto foi construído com a plataforma Elasticsearch, que indexa pacotes de dados para facilitar o acesso e a pesquisa de informações. Diversos bancos de dados construídos com essa tecnologia têm sido encontrados expostos na internet, sem qualquer segurança.
Casos aconteceram inclusive no Brasil, em que um banco de dados com dados referentes a 190 milhões de CPFs estava aberto para consultas.
Em agosto, um vazamento em um servidor Elasticsearch atingiu uma empresa de controle de acesso por reconhecimento facial.
FONTE: AASP