Outra empresa não conseguiu proteger seu banco de dados e 198 milhões de compradores de carros foram expostos

198 Million Car Buyers Exposed

Com muita freqüência, o alto custo é citado como a principal razão para a falha na proteção dos dados privados das pessoas. Quando as organizações sofrem um ataque cibernético, tendem a dizer que usariam as ferramentas certas e contratariam as pessoas certas, se não fosse tão caro.

Em muitas ocasiões, no entanto, as empresas não precisam gastar milhões para proteger as informações das pessoas. Muitas vezes, é necessário evitar alguns dos erros mais básicos. Um incidente recente de segurança de dados envolvendo uma rede de sites pertencentes ao DealerLeads confirma isso.

Quase 200 milhões de compradores de automóveis têm seus dados expostos

Em agosto, Jeremiah Fowler, do SecurityDiscovery.com, descobriu um banco de dados contendo nomes, emails, números de telefone, endereços físicos e IP e outras informações identificáveis de 198 milhões de pessoas. No início, ele lutou para descobrir quem era o dono do conjunto de dados de 413 GB, mas depois de algumas investigações, ele percebeu que ele pertencia ao DealerLeads. Os relatórios iniciais por e-mail ficaram sem resposta, mas depois que ele pegou o telefone, a empresa entrou em ação e tomou as precauções necessárias para proteger os dados.

Mas como o DealerLeads coletou todas essas informações em primeiro lugar? E como os dados acabaram expostos?

O modelo de negócios da DealerLeads gira em torno da compra e venda de carros novos e antigos. A empresa, na verdade, não comercializa automóveis. Em vez disso, ele possui uma rede de sites com SEO atraente que atrai um grande número de compradores de carros e os redireciona para revendedores que pagam pelo tráfego e clientes extras.

Aparentemente, as informações encontradas por Jeremiah Fowler foram coletadas enquanto os potenciais compradores de carros ainda estavam nos sites da DealerLeads. É difícil dizer o quão bem os usuários foram informados sobre a coleta de dados e também não está claro o que o DealerLeads queria fazer com ela. Seja qual for o objetivo do banco de dados, no entanto, ele não foi protegido como deveria.

Outra violação de dados causada por um erro de configuração básica

Infelizmente, mais uma vez estamos falando de um banco de dados enorme, cheio de toneladas de informações confidenciais acessíveis a qualquer pessoa com um navegador. Mais uma vez, era um servidor ElasticSearch que foi exposto à Internet e, mais uma vez, não foi protegido por uma senha.

É o mais recente em uma muito longa linha de incidentes maciços de exposição de dados que não aconteceu porque os cibercriminosos eram demasiado inteligente ou sofisticada, mas porque as empresas responsáveis pela proteção de informações das pessoas não fazem o que precisava fazer.

Não estamos falando de soluções de segurança caras. Estamos falando de uma falta de entendimento fundamental das ferramentas disponíveis e de seus mecanismos de proteção. É o equivalente a colocar todos os seus dados confidenciais em um smartphone e deixar o dispositivo sem vigilância e desbloqueado em um local público. A diferença é que, no caso do DealerLeads, quase 200 milhões de pessoas foram afetadas. Quão preocupadas essas 200 milhões de pessoas devem estar?

Os dados vazados podem ter sido acessados por criminosos cibernéticos

O banco de dados foi retirado do ar em 20 de agosto, logo após a denúncia de Jeremiah Fowler. Porém, ninguém diz por quanto tempo foi exposto e, embora seja difícil dizer se Fowler foi o primeiro a descobri-lo, o próprio pesquisador admitiu que o viu "várias vezes" antes de seu relatório. Em outras palavras, não será muito surpreendente se os dados já caírem em mãos erradas, o que torna a relutância do DealerLeads em emitir uma declaração pública ainda mais estranha.

Não há nada oficial no momento, e é difícil dizer se a empresa de SEO está entrando em contato com os usuários afetados individualmente. Seja qual for o caso, o incidente não deve ser subestimado.

Existem informações identificáveis suficientes para causar muitos danos no mundo real, e a presença de endereços IP e outros dados na instalação mal configurada do ElasticSearch também abre as portas para o crime no digital. Se você acha que seus dados podem ter sido expostos, você deve ter ainda mais cuidado do que o habitual.

September 17, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.