Empresa de marketing vaza quase três milhões de registros

O problema de privacidade na Friendemic, cujos principais clientes são concessionárias de automóveis nos Estados Unidos, foi descoberto por Aaron Phillips, da Comparitech . Como é comum nesses casos, os dados não criptografados foram deixados expostos na Internet pública sem nenhuma senha ou autenticação necessária para acessá-los.

Neste caso específico, era um bucket do Amazon S3 inseguro que Phillips alegou ser um dump SQL ou backup de banco de dados, potencialmente criado para a migração de dados entre servidores.

Ao todo, havia mais de 2,7 milhões de registros, incluindo nomes completos, números de telefone e endereços de e-mail, além de 16 tokens OAuth armazenados em texto simples.

No entanto, a quem exatamente esses registros pertencem permanece um mistério: Friendemic disse à Comparitech que eles não eram relacionados aos clientes de suas concessionárias de automóveis. Ele também alegou que os tokens OAuth eram apenas para sistemas internos e não estavam mais em uso quando os dados foram expostos.

Para seu crédito, a empresa pareceu agir rapidamente ao ser informada do incidente, corrigindo o risco em um dia.

“Embora nenhuma empresa queira que algo assim aconteça, estamos contentes por ter a vulnerabilidade corrigida”, observou a empresa em um comunicado . “Obrigado por nos notificar e agir profissionalmente. Também notificamos nossos clientes sobre a situação e estamos fazendo uma revisão completa e aprimorando nossa segurança de dados. ”

No entanto, incidentes como esses são cada vez mais comuns e podem colocar os clientes em risco de ataques de phishing e fraude de identidade.

Também existe o risco de que os invasores roubem o banco de dados completamente e resgatem o conteúdo ou até mesmo destruam o que encontraram, de acordo com a recente onda de ataques “Miau”.

Uma pesquisa no início deste ano descobriu que a configuração incorreta é responsável por 82% de todas as vulnerabilidades de segurança hoje.