Fórum de webmasters expôs dados de 800.000 usuários

Um banco de dados pertencente ao fórum de webmasters do Digital Point vazou os registros de mais de 800.000 usuários. 

A Digital Point, com sede em San Diego, Califórnia, se descreve como a “maior comunidade de webmasters do mundo”, reunindo freelancers, profissionais de marketing, programadores e outros profissionais criativos. 

Em 1º de julho, a equipe de pesquisa do WebsitePlanet e o pesquisador de cibersegurança Jeremiah Fowler descobriram um banco de dados Elasticsearch desprotegido contendo mais de 62 milhões de registros . No total, dados pertencentes a 863.412 usuários de Ponto Digital foram incluídos no vazamento. 

De acordo com a equipe, nomes, endereços de e-mail e números de ID de usuário interno foram disponibilizados publicamente. 

Além disso, os registros internos e os detalhes das postagens do usuário foram armazenados no banco de dados aberto. Ao examinar o banco de dados para descobrir quem era o proprietário, os pesquisadores encontraram conjuntos de dados relacionados a membros do fórum que sinalizaram postagens e as razões por trás desses relatórios – incluindo alegações de “maus negócios”, spam e outros motivos, alguns descrito como aparentando ser “mesquinho e pessoal”.

Além das ramificações de segurança usuais de roubo de dados de usuário e phishing, o banco de dados poderia ter se tornado um dos muitos a sucumbir ao Meow Bot , um script automatizado que foi responsável pelo comprometimento de milhares de bancos de dados MongoDB e Elasticsearch inseguros em julho. Depois que o script é implantado, ele substitui os dados por números e a palavra “miau”.

“Um dos perigos de um banco de dados não protegido por senha é que ele é um alvo permanente esperando para ser roubado, criptografado ou excluído”, disse a equipe. 

Fowler enviou um aviso de divulgação responsável ao Digital Point em 1 de julho, no mesmo dia em que o vazamento foi descoberto, por meio de um endereço de e-mail adequado encontrado no banco de dados. O alerta foi levado a sério e o acesso ao banco de dados foi revogado em poucas horas. 

No entanto, o fórum não se comunicou com os pesquisadores nem respondeu às solicitações de acompanhamento.

Fonte: https://www.zdnet.com/article/webmaster-forum-database-exposed-data-of-800000-users/#ftag=RSSbaffb68