Empresa de marketing vaza quase três milhões de registros
Um provedor de marketing digital dos EUA expôs quase três milhões de registros contendo informações de identificação pessoal (PII) após outro erro de configuração da nuvem.
O problema de privacidade na Friendemic, cujos principais clientes são concessionárias de automóveis nos Estados Unidos, foi descoberto por Aaron Phillips, da Comparitech . Como é comum nesses casos, os dados não criptografados foram deixados expostos na Internet pública sem nenhuma senha ou autenticação necessária para acessá-los.
Neste caso específico, era um bucket do Amazon S3 inseguro que Phillips alegou ser um dump SQL ou backup de banco de dados, potencialmente criado para a migração de dados entre servidores.
Ao todo, havia mais de 2,7 milhões de registros, incluindo nomes completos, números de telefone e endereços de e-mail, além de 16 tokens OAuth armazenados em texto simples.
No entanto, a quem exatamente esses registros pertencem permanece um mistério: Friendemic disse à Comparitech que eles não eram relacionados aos clientes de suas concessionárias de automóveis. Ele também alegou que os tokens OAuth eram apenas para sistemas internos e não estavam mais em uso quando os dados foram expostos.
Para seu crédito, a empresa pareceu agir rapidamente ao ser informada do incidente, corrigindo o risco em um dia.
“Embora nenhuma empresa queira que algo assim aconteça, estamos contentes por ter a vulnerabilidade corrigida”, observou a empresa em um comunicado . “Obrigado por nos notificar e agir profissionalmente. Também notificamos nossos clientes sobre a situação e estamos fazendo uma revisão completa e aprimorando nossa segurança de dados. ”
No entanto, incidentes como esses são cada vez mais comuns e podem colocar os clientes em risco de ataques de phishing e fraude de identidade.
Também existe o risco de que os invasores roubem o banco de dados completamente e resgatem o conteúdo ou até mesmo destruam o que encontraram, de acordo com a recente onda de ataques “Miau”.
Uma pesquisa no início deste ano descobriu que a configuração incorreta é responsável por 82% de todas as vulnerabilidades de segurança hoje.