Uma falha de dados deixou bancos e conselhos expostos por uma rápida pesquisa no Google

Detalhes privados relativos a mais de 50.000 cartas enviadas por bancos e autoridades locais foram indexados pelo Google depois que uma empresa de terceirização com sede em Londres deixou seu sistema irremediavelmente exposto. Detalhes sobre tudo, desde insolvência a lembretes finais de impostos municipais não pagos e férias hipotecárias, foram deixados disponíveis para qualquer pessoa ver desde junho.

Milhares de nomes e endereços – e os tipos de cartas que foram enviadas – ficaram expostos, afetando pessoas no Reino Unido, Estados Unidos e Canadá. A Virtual Mail Room, empresa responsável pela violação de dados, trabalhou para clientes como Metro Bank, 14 conselhos locais, a editora Pearson e o especialista em insolvência Begbies Traynor. O conteúdo específico das cartas enviadas aos indivíduos não era visível.

A violação de privacidade levanta dúvidas sobre a devida diligência realizada por empresas e autoridades locais usando serviços terceirizados de correspondência para lidar com dados confidenciais de clientes. Também chega em um momento particularmente doloroso, com muitos dos nomes e endereços contidos na violação pertencendo a pessoas que foram afetadas financeiramente pela pandemia. Esses erros podem cair no GDPR, com controladores e processadores de dados potencialmente enfrentando multas que totalizam dezenas de milhões de libras. Um porta-voz do Information Commissioner’s Office, o regulador de dados do Reino Unido, confirmou que estava ciente do incidente e estava fazendo investigações.

Os detalhes expostos pela violação são extremamente pessoais. Entre a tranche de dados pessoais expostos estavam os nomes e endereços de 6.500 clientes do Aldermore Bank. O sistema de back-end deixado exposto revela quais clientes receberam cartas de pré-inadimplência e de remediação. Um porta-voz do banco afirma que está investigando o assunto. Em outros lugares, mais de 250 clientes do Metro Bank foram identificados com o nome e endereço da empresa. Um porta-voz do Metro Bank disse que a empresa “suspendeu temporariamente o compartilhamento de dados” com a Virtual Mail Room como medida de precaução enquanto sua investigação continua.

Em seu site, a Virtual Mail Room afirma oferecer aos clientes “uma interface web simples, mas segura” que permite às empresas fazer upload de documentos, listas de contatos e outras informações e acompanhar o andamento das correspondências e gerar relatórios. Mas o que foi projetado como uma maneira rápida de as empresas entrarem em contato com seus clientes se tornou uma grande dor de cabeça na privacidade de dados.

Um banco de dados de cartas enviadas por autoridades locais revela os nomes e endereços de 2.300 pessoas que vivem em Croydon. Conselhos em Eastbourne, Reigate, North Tyneside, Ashford, North East Derbyshire e West Lindsey também foram pegos na violação. Um banco de dados mostrou os detalhes de centenas de pessoas que receberam cartas de associações de habitação. E não foram apenas as pessoas que viviam no Reino Unido que ficaram expostas. A Virtual Mail Room envia declarações de royalties para a editora Pearson para os EUA e Canadá. Os clientes da Aldermore com endereços na Bélgica, Polônia, Alemanha, Itália, Emirados Árabes Unidos, Suécia e Irlanda também foram incluídos na violação.

Mickel Bak, diretor da Virtual Mail Room, diz que a empresa foi alvo de um ataque que fez com que os dados fossem postados online. “Estamos claramente preocupados por sermos alvo de um ataque para acessar as informações que possuímos”, diz ele. “Nós temos e estamos tomando as medidas necessárias exigidas para auxiliar nossos clientes e autoridades competentes neste caso.” Todos os dados deixados desprotegidos foram então protegidos, mas não antes de serem deixados online para qualquer um ver desde junho.

Os nomes, endereços de e-mail e números de telefone da equipe com acesso aos sistemas da Sala de Correio Virtual também estavam visíveis. As ferramentas no backend também não foram protegidas, permitindo que trabalhos de impressão e entrega fossem potencialmente modificados ou excluídos.

Robin Wood, um consultor de segurança independente, diz que a violação parece o tipo de coisa que seria detectada se o sistema fosse devidamente testado. “Também é algo que poderia ter sido escolhido por equipes de marketing ou SEO, que monitoram o Google para ver o que está indexado. Se eles tivessem visto, mas não percebessem o que estava acontecendo, o treinamento de conscientização teria ajudado ”, diz Wood.

Fonte: https://www.wired.co.uk/article/virtual-mail-room-data-breach
Imagem: getty/wired