OWASP divulga violação de dados

A Fundação OWASP divulgou uma violação de dados que afetou alguns de seus membros.

A Fundação OWASP (Open Web Application Security Project) é uma organização sem fins lucrativos focada em melhorar a segurança de software. Ele fornece recursos, ferramentas e documentação disponíveis gratuitamente para ajudar as organizações a desenvolver, implantar e manter aplicativos de software seguros.

No final de fevereiro de 2024, a Fundação recebeu algumas solicitações de suporte e tomou conhecimento de uma configuração incorreta do antigo servidor web Wiki da OWASP. A configuração incorreta levou a uma violação de dados envolvendo currículos de antigos membros.

O incidente impactou os membros do OWASP de 2006 a cerca de 2014, que forneceram seus currículos como parte da adesão ao OWASP.

Os currículos expostos continham nomes, endereços de e-mail, números de telefone, endereços físicos e outras informações de identificação pessoal.

“A OWASP coletou currículos como parte do processo inicial de adesão, pelo qual os membros eram obrigados, na era de 2006 a 2014, a demonstrar uma conexão com a comunidade OWASP. A OWASP não coleta mais currículos como parte do processo de adesão.” lê a notificação de violação de dados publicada pela Fundação.

Em resposta à violação de segurança, os especialistas da Fundação desabilitaram a navegação no diretório, revisaram o servidor web e a configuração do Media Wiki em busca de outros problemas de segurança, protegeram os currículos e limparam o cache do CloudFlare. A organização também solicitou que as informações fossem retiradas do Web Archive.

A Fundação afirmou que os indivíduos afetados por esta violação não pertencem mais ao OWASP e a idade dos dados é entre dez e 18 anos. A maioria dos dados pessoais incluídos nesta violação estão desatualizados, dificultando o contato com os indivíduos afetados. No entanto, a Fundação entrará em contato com os endereços de e-mail descobertos durante as nossas investigações.

“ Acho que fui afetado. O que eu preciso fazer?  A OWASP já removeu suas informações da Internet, portanto nenhuma ação imediata de sua parte é necessária. Nada precisa ser feito se as informações em risco estiverem desatualizadas. No entanto, se as informações forem atuais, como o número do seu celular, tome as precauções habituais ao responder e-mails, correspondências ou telefonemas não solicitados.” conclui a notificação.