MGM Resorts vaza dados privados de 10,6 milhões de clientes, incluindo celebridades
Catalin Cimpanu, um repórter do ZDNet, foi avisado sobre um imenso despejo de dados recentemente publicado em um fórum de hackers. Ele deu uma olhada e percebeu que as informações comprometidas pertenciam às pessoas que ficaram nos hotéis MGM Resorts. Com a ajuda de um pesquisador do Under the Breach, Cimpanu confirmou a legitimidade do vazamento e entrou em contato com a rede de hotéis. Um porta-voz da MGM disse por e-mail que a informação realmente pertencia aos hóspedes do hotel, mas eles foram rápidos em apontar que os detalhes do cartão de crédito das pessoas não estavam envolvidos.
Alguns de vocês podem pensar que isso torna a violação muito menos perigosa, mas como descobriremos em um minuto, esse não é realmente o caso. Antes de chegarmos às possíveis consequências, no entanto, vamos ver o que vazou e quem teve acesso a ele.
Índice
Hackers roubaram informações pessoais de mais de 10,6 milhões de hóspedes em 2019
Aparentemente, a brecha aconteceu no verão passado e, embora não a tenha anunciado oficialmente, a MGM entrou em contato com pelo menos alguns dos indivíduos afetados para informá-los sobre o incidente. Como Cimpanu observou, as pessoas discutiram as notificações de violação na época, mas o vazamento não conseguiu atrair o interesse da mídia, o que, considerando o que está no lixão, é um tanto estranho.
Durante o ataque, os hackers conseguiram fugir com os dados pessoais de 10.683.188 hóspedes do hotel. As informações vazadas incluíam nomes, endereços residenciais e de e-mail, números de telefone e datas de nascimento. O pesquisador de Cimpanu e Under the Breach tentou entrar em contato com algumas pessoas no banco de dados e, embora alguns números de telefone não fossem mais válidos, os hóspedes responderam e disseram que haviam ficado nos hotéis MGM antes de 2018.
Celebridades, repórteres e funcionários do governo também foram afetados
O MGM Resorts é uma enorme cadeia de hotéis de luxo e, por isso, provavelmente não deve surpreender que, como mostra o banco de dados vazado, alguns nomes conhecidos usem seus locais.
Segundo o pesquisador do Breach, o ZDNet disse que o banco de dados contém os detalhes dos funcionários do DHS e da TSA, e o próprio Cimpanu viu os nomes de alguns repórteres conhecidos que ficaram nos locais da MGM durante conferências e eventos de alto nível. A brecha também atingiu a estrela pop Justin Bieber e o CEO do Twitter, Jack Dorsey, embora permaneça desconhecido se eles, como outros convidados, foram informados em particular sobre o ataque.
O dano potencial é significativo
Inevitavelmente, paralelos são traçados entre a violação da MGM e o ataque de 2017 aos hotéis Marriot. Em cerca de 500 milhões, o número de convidados afetados pelo vazamento de Marriot é muito maior, mas isso não significa que Dorsey, Bieber e o resto das pessoas cujas informações estão no depósito da MGM devam relaxar. Os dados comprometidos já estão nas mãos dos criminosos há pelo menos seis meses e agora estão disponíveis para quem quiser baixá-los. A ausência de detalhes do cartão de crédito também não é motivo para subestimar a violação.
Para enfatizar as possíveis consequências do vazamento, Catalin Cimpanu compartilhou seus pensamentos sobre como as informações roubadas poderiam ter ajudado os hackers a comprometer a conta do Twitter de Jack Dorsey. Como alguns de vocês devem se lembrar, em agosto do ano passado, bandidos sequestraram a conta de microblog de Dorsey depois de montar um ataque de troca de SIM contra ele, e Cimpanu especula que eles podem ter recuperado seu número de telefone do banco de dados da MGM. É claro que, nas próprias palavras do repórter, é uma "teoria maluca" que não pode ser confirmada ou negada, mas o fato é que nada disso pode ser classificado como "impossível".
Além da troca de SIM, as pessoas afetadas pela violação da MGM também devem estar atentas a ataques direcionados de spear phishing e, dada a presença de endereços residenciais no banco de dados, eles também podem querer pensar em sua segurança física. Afinal, as informações agora são públicas e ninguém sabe quem pode ser tentado pelo botão Download.
