setembro 18, 2019

[Segurança] Vazaram os dados de toda população! Do Chile e Equador!

É assustador... Em poucos dias, soubemos de dois vazamentos massivos de dados pessoais, aonde cada um deles afetou o equivalente a toda a população do país inteiro:
  • Chile: Há cerca de 2 meses, foi encontrado um servidor desprotegido na Elasticsearch, com uma base de dados aberta ao público, sem autenticação, contendo 3 GB de arquivos com  informações pessoais de 14 milhões de chilenos, com idade superior a 17 anos. Isso representa praticamente toda a população adulta do país e cerca de 80% do total de habitantes (a população total do país é de 18 milhões). Os dados comprometidos incluem informações como nome completo, gênero, endereço residencial, idade e número do documento de identificação;
  • Equador: Há poucas semanas atrás, pesquisadores de segurança identificaram um servidor Elasticsearch em Miami que estava disponibilizando, sem autenticação, um total de aproximadamente 20,8 milhões de registros de usuários, incluindo dados de 6,7 milhões de crianças - totalizando 16 GB de dados. Os conjunto de dados incluíam detalhes como nomes, informações sobre membros da família, dados de registro civil, informações financeiras e de trabalho, e até mesmo dados sobre a propriedade de carros. A quantidade de dados vazados é maior do que a população do país, que possui 16,6 milhões de cidadãos. A fonte dos dados é uma empresa local chamada Novaestrat, que fornece serviços de análise financeira para o mercadolocal. Seu diretor foi preso pelas autoridades equatorianas.


Em comum, vemos uma prática que está se tornando frequente, de forma assustadora: repositórios de dados na nuvem, armazenados sem uma proteção básica de segurança (sequer tinham controle de acesso!).

Os dois países latinoamericanos se juntam a Bulgária, que em Julho teve um vazamento de dados financeiros de aproximadamente 70% de sua população :(

Para saber mais:


Um comentário:

Denis disse...

O mesmo aconteçeu com terceirizadas que atendem o Banco Pan, Bacen, PRF, etc. O pessoal simplesmente publica o bucket sem se atentar nas configurações de acesso.

Fonte:
https://thehack.com.br/exclusivo-vazam-mais-de-200-gb-de-documentos-de-bancos-brasileiros/

https://thehack.com.br/exclusivo-terceirizadora-de-mao-de-obra-deixa-vazar-contratos-e-dados-de-funcionarios/

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.