Um banco de dados vinculado à SL Data Services, uma corretora de dados com sede nos EUA, expôs 644.869 registros confidenciais online. Os registros incluíam informações de identificação pessoal, detalhes de propriedade, registros de veículos, registros judiciais e documentos de verificação de antecedentes, e não possuíam proteção por senha ou criptografia.
O pesquisador de segurança Jeremiah Fowler descobriu a exposição e relatou-a ao site de revisão e pesquisa cibernética WebsitePlanet. Ele observou uma amostra dos documentos armazenados no banco de dados de 713,1 GB e disse que 95% foram rotulados como “verificações de antecedentes”.
Documentos desse tipo continham nomes completos, endereços residenciais, números de telefone, endereços de e-mail, informações de emprego, familiares, contas de redes sociais e histórico criminal. Fowler verificou que alguns indivíduos citados moravam nos endereços listados.
“Esta informação fornece um perfil completo desses indivíduos e levanta questões potencialmente preocupantes sobre privacidade”, escreveu ele em um relatório.
Fowler acreditava que um relatório de propriedade solicitado à SL Data Services seria armazenado em um banco de dados que o cliente poderia acessar por meio de um portal web. O único problema é que “se você conhece o caminho do arquivo, você sabe onde os documentos estão armazenados”, disse ele ao TechRepublic por e-mail.
Ele acrescentou: “Esta empresa usou um banco de dados para vários domínios e não usou nenhuma segmentação além de pastas com o nome do site”.
O acesso ao banco de dados foi restrito por mais de uma semana depois que Fowler notificou a SL Data Services sobre a exposição. Ele só conseguiu se conectar com agentes de call center, que o informaram que uma violação seria impossível porque a empresa usa SSL com criptografia de 128 bits.
Durante aquela semana, o número de registros contidos aumentou em mais de 150.000. Não se sabe por quanto tempo o banco de dados esteve acessível publicamente, nem se alguém o acessou.
VEJA: Projeto de lei de dados (uso e acesso): o que é e como afeta as empresas do Reino Unido?
Dados expostos colocam indivíduos em risco de ataques de phishing
A maior preocupação em torno dos dados expostos é a oportunidade que eles criam para realizar ataques convincentes de phishing e engenharia social. Um criminoso pode usar as informações para se passar por ou atingir um indivíduo cujos dados foram expostos em um documento de verificação de antecedentes.
“Os criminosos poderiam potencialmente aproveitar informações sobre familiares, emprego ou casos criminais para obter informações pessoais confidenciais adicionais, dados financeiros ou outras ameaças à privacidade”, escreveu Fowler no relatório.
As empresas que armazenam informações pessoais devem monitorar consistentemente os logs de acesso em busca de atividades suspeitas, como visualização em massa ou download de arquivos. Eles também devem evitar o uso de PII no sistema de nomenclatura de arquivos, pois usuários não autorizados podem lê-los simplesmente abrindo o diretório ou os metadados do arquivo. O uso de identificadores aleatórios e com hash como nomes de arquivos é recomendado como alternativa.
Quem é o ‘SL Data Services’?
SL Data Services fornece “relatórios imobiliários abrangentes para imóveis residenciais nos EUA” e foi fundada em 2023, de acordo com sua página credenciada Better Business Bureau. No entanto, algumas análises sugerem práticas enganosas, em que os clientes solicitam um relatório de propriedade por US$ 1, mas recebem cobranças mensais subsequentes no cartão de crédito de até US$ 20, apesar de alegarem não ter consentido com a assinatura.
De acordo com Fowler, a SL Data Services opera uma rede de cerca de 16 sites. Isso ocorre porque as pastas no banco de dados exposto foram nomeadas com domínios de sites separados.
VEJA: 1,1 milhão de registros de funcionários do NHS do Reino Unido expostos à configuração incorreta do Microsoft Power Pages
Sua página Better Business Bureau fornece o nome comercial alternativo de “propertyrecs.com LLC”, que parece ser outro fornecedor de registros de propriedade. No entanto, Fowler ligou para a empresa e foi informado de que ela também fornece verificações criminais, registros motores e registros de óbito e nascimento.
As análises da empresa na Trustpilot indicam que os usuários do PropertyRecs costumam pagar uma taxa de assinatura pela qual não se inscreveram intencionalmente, semelhante ao SL Data Services.
Apesar da rescisão do acesso público ao banco de dados, Fowler não teve notícias do SL Data Services ou PropertyRecs. A TechRepublic também entrou em contato com as empresas, mas não obteve resposta. Não há confirmação de que o banco de dados exposto seja propriedade do SL Data Service, PropertyRecs ou de um contratante terceirizado.
Provedores de serviços de informação são os principais alvos dos ciberataques
Este não é o primeiro caso este ano em que um fornecedor de serviços de informação não consegue proteger adequadamente os seus dados. Em Agosto, um hacker despejou 2,7 mil milhões de registos de dados do National Public Data, um serviço de verificação de antecedentes, num fórum da dark web, numa das maiores violações da história.
Acredita-se que os invasores obtiveram acesso inicial aos dados públicos nacionais por meio de uma propriedade irmã, RecordsCheck, que hospedava um arquivo de nomes de usuário e senhas em texto simples para diferentes componentes de seu site, incluindo seu administrador. O arquivo indicou que todos os usuários do site receberam a mesma senha de seis caracteres por padrão, mas muitos nunca a alteraram.
Desde então, a National Public Data entrou com pedido de falência, alegando que não pode suportar os danos financeiros e de reputação resultantes da violação.
Em 2023, a TruthFinder e a Instant Checkmate, duas outras empresas de verificação de antecedentes, confirmaram que 20 milhões dos seus clientes foram afetados por uma violação de dados. Eles alegam que os dados foram roubados do armazenamento em nuvem de um antigo provedor de serviços.
“Já vi vários casos de empresas relativamente pequenas com acesso a grandes quantidades de dados e segurança de dados negligente”, disse Fowler ao TechRepublic. “Parece que muitos corretores de dados investem em dados, mas não em tecnologia de proteção de dados.
“Os dados são valiosos e, a cada ano, há mais empresas que entram no negócio de coletar, compartilhar e vender informações. Quando as startups entram no mercado, como qualquer empresa, elas se concentram em vendas e receitas e muitas vezes não criam uma infraestrutura segura para gerenciar e entregar seus dados.
“Quando se trata de PII, tem de haver padrões e responsabilidade mais elevados, e as empresas que entram neste mercado precisam de mais supervisão por razões óbvias, e até que haja regulamentos em vigor, continuaremos a ver estes tipos de violações de dados.”
Fowler recomenda que, antes de se inscrever em um corretor de dados, pergunte sobre seus métodos de armazenamento de dados e testes de penetração ou frequência de verificação de vulnerabilidades. “Se a empresa levar a proteção de dados a sério, eles disponibilizarão alguém ou fornecerão informações adicionais”, disse ele ao TechRepublic.
Notícias de Tecnologia:
A violação da fidelidade expôs os dados pessoais de 77.000 clientes – o que fazer se você for afetado
Como usar registros detalhados de chamadas para detectar fraudes
Por que o iPhone SE 4 pode substituir o iPhone SE 3 e o iPhone 14 na linha 2025 da Apple (a partir de US$ 600)
As maiores violações de dados em 2024: 1 bilhão de registros roubados e aumento
A atualização do aplicativo Samsung Health facilita o acesso a registros de saúde, gerenciamento de medicamentos e rastreamento de alimentos – Samsung Global Newsroom
Como remover suas informações pessoais dos resultados do Google