Milhões de Documentos Bancários Vazaram Porque um Servidor não foi Protegido por uma Senha

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Outro dia, outro tesouro de dados sensíveis exposto. O banco de dados foi descoberto em 10 de janeiro pelo pesquisador de segurança Bob Diachenko. Tinha 24 milhões de registros com mais de 51 GB, e assim que Diachenko viu o que esses registros continham, ele sabia que deveria agir rapidamente.

O texto aparentemente foi gerado por uma solução de OCR. OCR significa Optical Character Recognition, uma tecnologia usada para converter documentos manuscritos ou impressos em texto legível por máquina. Nesse caso específico, o software de OCR digitalizou relatórios de crédito e hipoteca.

Como cada registro contém partes diferentes de documentos diferentes, é difícil estimar o número exato de indivíduos afetados. É justo dizer, no entanto, que muita informação extremamente sensível foi deixada em aberto. O banco de dados continha nomes, endereços, números de telefone, histórico de crédito, números de CPF, etc. Como o próprio Diachenko coloca, o banco de dados era "uma mina de ouro para criminosos cibernéticos que teriam tudo o que precisassem para roubar identidades, enviar falsas declarações de imposto de renda, obter empréstimos ou cartões de crédito".

Quem expôs os dados?

Não ficou claro de imediato quem era o dono do banco de dados, razão pela qual Diachenko ligou para Zack Whittaker do TechCrunch e pediu ajuda na investigação. Depois de uma olhada mais atenta, eles descobriram que os documentos datam de 2008 e foram emitidos por várias instituições financeiras importantes, incluindo Wells Fargo, CapitalOne, HSBC, bem como um par de departamentos federais dos EUA.

Depois de outras investigaçōes feitas mais tarde, eles concluíram que as informações foram coletadas pela Ascension - uma empresa baseada no Texas que fornece serviços de análise de dados para os bancos. Whittaker entrou em contato com Sandy Campbell, representante da empresa controladora da Ascension, que disse que sim, o banco de dados pertencia ao negócio de análise, mas não, seus sistemas não foram comprometidos.

Aparentemente, um vendedor contratado pela Ascension fez o erro. Embora Campbell tenha se recusado a nomear o referido fornecedor, Zack Whittaker acredita que é o OpticsML, de Nova York. Considerando o fato de que, de acordo com uma versão arquivada do seu site (a versão ao vivo foi desativada por algum motivo), a OpticsML oferece serviços de OCR "para algumas das maiores empresas do mercado imobiliário", o cenário não parece muito improvável. Dito isto, ninguém confirmou oficialmente a informação.

A boa notícia é que, depois que o Citigroup, uma das instituições financeiras cujos clientes foram afetados, interviram, o banco de dados foi retirado e ficou inacessível desde 15 de janeiro.

Como os dados foram expostos?

Bob Diachenko não usou uma injeção de código inteligente, força bruta de senha ou qualquer outro tipo de técnica de hacking. Em vez disso, ele descobriu isso com a ajuda de mecanismos de busca publicamente disponíveis como o Shodan e Censys, e quando chegou lá, não havia senhas para evitar que ele olhasse, baixasse ou possivelmente abusasse dele.

Os dados foram deixados em um cluster do ElasticSearch e estavam voltados para a internet sem nenhuma forma de proteção.. Era acessível a qualquer pessoa que estivesse disposta a aceitá-la, e encontrá-la era tão difícil quanto inserir uma consulta em um mecanismo de pesquisa.

É o mais recente em uma linha muito longa de vazamentos de dados que não acontece porque os hackers são espertos demais ou porque o software é muito fraco, mas porque os fabricantes cometem erros de configuração simples e completamente evitáveis ao proteger as informações das pessoas. Na verdade, apenas alguns dias depois, outro servidor ElasticSearch não seguro expôs todos os tipos de dados confidenciais que pertencem aos usuários de vários cassinos online .

Os vendedores precisam realmente entrar no jogo quando se trata de manter as pessoas seguras. Eles têm as ferramentas necessárias para evitar pelo menos alguns dos incidentes de exposição de dados e não têm desculpas para não usá-los.

June 11, 2019

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 2 + 5 ?