Sonder confirma violação de dados, documentos e outras PII potencialmente comprometidas
A empresa de hospitalidade Sonder confirmou uma violação de dados que potencialmente comprometeu os registros dos hóspedes.
De acordo com uma atualização de segurança publicada na quarta-feira, 23 de novembro de 2022, a Sonder soube do acesso não autorizado a um de seus sistemas em 14 de novembro.
“Sonder acredita que registros de convidados criados antes de 1º de outubro de 2021 estiveram envolvidos neste incidente”, escreveu a empresa. Acrescentou que não há evidências que indiquem o envolvimento de contas criadas após 14 de novembro de 2022.
“Isso sugere que a empresa melhorou sua segurança desde outubro passado, ou o invasor conseguiu acessar um backup antigo ou uma cópia dos dados”, explicou Mark Warren, especialista em produtos da Osirium .
“O acesso não autorizado pode se aplicar à equipe atual, alguém que saiu há algum tempo, um fornecedor ou um invasor”, disse Warren à Infosecurity .
Os dados potencialmente comprometidos na violação incluem nomes de usuário e senhas criptografadas, nomes, números de telefone, datas de nascimento, endereços e endereços de e-mail.
Certos recibos de transações de hóspedes, incluindo os últimos quatro dígitos de números de cartão de crédito e valores de transações, também podem ter sido comprometidos, juntamente com as datas reservadas para estadias nas propriedades Sonder.
“Além disso, Sonder acredita que cópias de identificação emitidas pelo governo, como carteiras de motorista ou passaportes, podem ter sido acessadas para um número limitado de registros de hóspedes”, acrescentou a empresa.
A Sonder explicou que, ao descobrir a violação, tomou medidas para contê-la, inclusive garantindo que o indivíduo não autorizado não tivesse mais acesso aos sistemas e que as operações não fossem afetadas e investigando o alcance do incidente.
A empresa também notificou os usuários afetados e os órgãos reguladores apropriados e entrou em contato com as autoridades.
Warren disse que as empresas devem aprender com violações de dados como essa e melhorar sua postura de segurança protegendo bancos de dados de clientes (e backups) de invasores, funcionários descontentes e danos acidentais. O executivo também alertou contra permitir que os funcionários tenham acesso direto às credenciais usadas para acessar esses sistemas.
“Isso não apenas reduz o risco de comprometimento do acesso, mas também torna a vida muito mais fácil quando a empresa precisa fazer o rodízio de credenciais”, acrescentou Warren.
“Sem esse controle, alterar as credenciais regularmente ou torná-las altamente complexas torna-se muito caro, então muitos acabam pegando atalhos ou não atualizando as credenciais com frequência suficiente.”
Em suma, Warren acredita que a proteção sempre volta aos fundamentos.
“Saiba onde estão os dados e sistemas sensíveis, entenda quem tem acesso e quem realmente precisa e garanta que o acesso só seja possível por meio de canais seguros, como gerenciamento de acesso privilegiado.”