outubro 10, 2019

[Segurança] O maior vazamento de dados dos últimos tempos da última semana

Baseado em uma conversa real:
- Você viu o vazamento de dados do Mc Donnald's? Que absurdo!
- Ih, que nada. Teve o roubo de 90 milhões de dados do governo!
- Ah, você está desatualizado! Isso foi na semana passada! Agora teve o vazamento dos dados médicos de uma galera!
- Vocês três estão falando de notícia velha! Hoje vazaram os dados do Detran, com informações de todos os brasileiros que tem carteiras de motorista!
É isso mesmo! Nos últimos dias, literalmente, vimos uma sequência absurda de vazamento de dados aqui no Brasil:
  • No dia 01/10 a The Hack divulgou que havia uma falha em um sistema do Instituto Mix, maior franquia de escolas de cursos profissionalizantes do Brasil, permitindo o acesso completo a uma série de dados sensíveis sobre alunos, funcionários e franqueados. Um banco de dados poderia ser acessado facilmente, permitindo o acesso a dados cadastrais de qualquer aluno ou ex-aluno do Instituto Mix (podendo chegar a 700 mil alunos), além de informações sobre os franqueados e funcionários;
  • No dia 04/10 a The Hack apurou que uma prestadora de serviços do McDonald's Brasil, a DoxTI, deixou exposto em um ambiente desprotegido na Elasticsearch mais de 2,3 milhões de dados sensíveis (mais precisamente, 2.354.933), incluindo dados pessoais de funcionários e informações de fornecedores;
  • No mesmo dia 04/10, a BleepingComputer relatou que um ciber criminoso estava anunciando em fóruns underground a venda de dados de 92 milhões de Brasileiros., leiloado pela bagatela de 15 mil Trumps. Aparentemente, essa massa de dados foi obtida de algum órgão governamental;
  • No dia 07/10 a The Hack reportou que uma empresa prestadora de serviços de saúde no trabalho, a BCcorp, deixou vazar dados pessoais e exames médicos de 33 mil funcionários de algumas empresas - incluindo a Vale e Prosegur. Os arquivos estavam armazenados em um servidor desprotegido do serviço Amazon Simple Storage Service (S3), da AWS.


  • No dia 08/10, o Olhar Digital noticiou que o site do Detran-RN estava expondo os dados pessoais de todos brasileiros que possuem CNH, devido a uma falha que permitia a enumeração e consulta dos dados pessoais de aproximadamente 70 milhões de pessoas. Era possível obter, apenas com o número de CPF, dados pessoais como endereço residencial completo, telefone, dados da CNH (categoria, validade, emissão, restrição, registro), foto, RG, CPF, data de nascimento, sexo e idade.
Esses vazamentos não estão sozinhos. Recentemente a The Hack reportou a existência de um ambiente Elasticsearch público com informações pessoais de 200 mil brasileiros (sem conseguir identificar a empresa responsável pelo servidor em questão). Em setembro a Atitude Grupo, empresa de terceirização de mão-de-obra, deixou vazar uma série de documentos sigilosos hospedados em um bucket S3 público. por conta da má-configuração de um servidor. Lá estavam disponíveis documentos como licitações, contratos, relatórios, folhas de ponto e documentos diversos de funcionários, incluindo RGs, CPFs e holerites, de clientes como Banco Central do Brasil, Banco do Nordeste (BNB) Receita Federal, Polícia Rodoviária Federal (PRF) e Tribunais Regionais Eleitorais (TREs). Em Agosto a The Hack também noticiou que uma clínica cardíaca carioca, a Cirurgiões Cardíacos Associados (CCA), deixou escapar pelo menos 3 mil relatórios pós-cirúrgicos de seus pacientes.

E poderíamos escrever mais alguns parágrafos sobre casos recentes só aqui no Brasil, como o vazamento de dados do SUS (2,4 milhões de pessoas!), da prestadora de serviços de alguns bancos (incluindo o Banco Pan e o Safra), do detergente Ypê (peraí, existe um site do detergente Ypê? E alguém se cadastrou nele!?), etc.



A LGPD só vai entrar em vigor em Agosto de 2020, logo essas empresas ainda não podem ser punidas de acordo com a Lei. Resta apenas torcer para que o MPDFT continue entrando com ações públicas contra essas empresas, assim como já fez no caso da Netshoes e Banco Inter, por exemplo.


Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.