CafePress finalmente confessa até a enorme violação de dados
Agora, muitas pessoas sabem que o popular varejista de camisetas e mercadorias CafePress sofreu uma grande violação de dados no início de 2019. Em julho, os seguidores de uma conta no Twitter chamada We Leak Info aprenderam sobre isso e, algumas semanas depois, quando o especialista em segurança Troy Hunt pôs as mãos nos dados, as notícias se espalharam muito mais.
Como mencionamos na época , o incidente ocorreu em fevereiro e era bastante grande, com cerca de 23 milhões de contas afetadas. Os dados vazados também incluíam detalhes como endereços físicos e, de acordo com Troy Hunt, as senhas que estavam no despejo não estavam muito bem protegidas. À luz de tudo isso, o comportamento do CafePress era positivamente estranho.
Não havia nenhuma declaração oficial e, embora alguns repórteres tentassem pedir um comentário, o varejista permaneceu de boca fechada. Alguns usuários disseram que foram forçados a alterar suas senhas, mas aparentemente foram informados de que a ação foi desencadeada por uma nova política de senhas, não por violação de dados.
No momento, mais de um mês e meio depois que Troy Hunt carregou o banco de dados em Eu fui preso, e pouco mais de sete meses após o roubo das informações, o CafePress finalmente admite publicamente que sofreu uma violação de dados.
Os clientes do CafePress começam a receber notificações de violação de dados por e-mail
Na semana passada, o CafePress começou a enviar e-mails que informavam "clientes valiosos" de "um incidente de segurança de dados", que envolvia suas informações pessoais. O varejista pediu desculpas profusamente pelo vazamento e lançou mais alguma luz sobre o assunto. Mas foi o suficiente?
De acordo com as capturas de tela compartilhadas nas mídias sociais , os usuários foram informados de que informações pessoais, incluindo nomes, endereços de email e senhas, poderiam estar envolvidas. As pessoas tiveram a certeza de que os dados foram movidos para "um ambiente diferente", mas foram aconselhados a alterar a senha que estavam usando para a conta do CafePress em qualquer outro serviço on-line onde ainda possam estar ativos. O e-mail também afirmou que os usuários devem "permanecer vigilantes" e atentos a quaisquer sinais de roubo de identidade.
Muitas pessoas que receberam a notificação não ficaram especialmente felizes com isso. Alguns deles ficaram bastante chateados com o fato de suas senhas terem sido armazenadas no que parece ser um formato recuperável (as notificações não fornecem detalhes sobre os mecanismos exatos de armazenamento). Outros pensaram que esse tipo de mensagem não deveria vir de um endereço "não respondido", e a maioria ficou bastante irritada com o fato de o varejista estar se abrindo sobre a violação mais de meio ano depois que ela ocorreu. No entanto, existem algumas coisas que podem colocá-las em um humor ainda mais sombrio.
Os detalhes ainda são difíceis de encontrar
Graças ao poder da Internet, podemos saber que, em 4 de setembro, cerca de duas semanas antes das primeiras notificações de violação de dados começarem a chegar nas caixas de entrada das pessoas, os advogados do CafePress enviaram uma carta formal [PDF] ao Procurador-Geral de Iowa para informar publicamente a instituição de a violação. Um dia depois, em 5 de setembro, o varejista publicou em seu site uma página dedicada ao incidente. Versões para cidadãos do Reino Unido , Canadá e Austrália também estão disponíveis, mas por razões que não são particularmente claras, encontrá-las não é muito fácil. No momento da redação deste artigo, esse conteúdo não parece estar disponível no mecanismo de busca do CafePress e, até onde sabemos, não foi compartilhado com os usuários de nenhuma maneira. As informações contidas na carta ao procurador-geral de Iowa e a página da Web difícil de localizar nos fornecem mais detalhes sobre toda a violação de dados.
Isso nos dá um detalhamento da localização geográfica das pessoas afetadas. Aparentemente, mais de 22 milhões de pessoas foram atingidas globalmente, incluindo 450 mil australianos, cerca de 495 mil canadenses e pouco mais de 1 milhão de cidadãos da UE (dos quais 880 mil vivem no Reino Unido). Além de nomes, endereços de e-mail e senhas, o "terceiro não identificado" que violou a segurança do CafePress conseguiu roubar os últimos quatro dígitos e datas de vencimento de alguns cartões de crédito, além de informações confidenciais como números de Seguro Social e de Identificação Fiscal (incluindo os equivalentes no Canadá, na Austrália e no Reino Unido). Felizmente, apenas cerca de 1% de todos os indivíduos afetados tiveram detalhes como Números do Seguro Social expostos e todos receberão proteção contra roubo de identidade paga pelo CafePress.
A carta ao procurador-geral de Iowa diz que em 6 de agosto, o CafePress "descobriu" que os dados pessoais de seus clientes são "supostamente oferecidos para venda e disponíveis na dark web". O pessoal de segurança do varejista provavelmente não ficou muito surpreso com essa "descoberta", porque, de acordo com o mesmo documento, em 13 de março, eles lidaram com uma vulnerabilidade de segurança no banco de dados afetado. Naquela época, eles encontraram "nenhuma evidência forense" para sugerir que as informações haviam sido roubadas, mas em 15 de abril de 2019, no entanto, forçaram uma redefinição de senha para todos que tentassem fazer login em sua conta. Por esse motivo, o documento afirma que as "senhas que podem ter sido obtidas durante esse incidente não eram mais efetivas a partir de 15 de abril de 2019".
Mesmo se assumirmos que esse é o caso, não podemos ignorar o fato de que as pessoas reutilizam senhas o tempo todo . Também não podemos ignorar o fato de que o CafePress não lidou com o problema da maneira mais transparente possível.
