A Tech Data Corporation Deixou 264 GB de Informações Pessoais e Financeiras em um Banco de Dados Desprotegido
Alguns de vocês podem não estar familiarizados com o nome Tech Data Corporation, mas é provável que tenham ouvido falar de seus clientes. A Tech Data é uma empresa da Fortune 500 que fornece a algumas das maiores empresas de tecnologia do mundo uma ampla variedade de produtos e serviços de TI. Possui receita anual de quase US $40 bilhões e trabalha com empresas como Apple, Microsoft, Sony, LG, HP, Dell, Cisco etc. Você provavelmente acha que a Tech Data não teria problemas em armazenar informações confidenciais corretamente. Temos más notícias para você.
Os especialistas em segurança Noam Rotem e Ran Locar estavam ajudando a equipe de pesquisa do vpnMentor a fazer uma digitalização de portas quando se depararam com um banco de dados deixado de frente para a Internet sem qualquer forma de proteção. Rotem e Locar já viram tesouros de informações expostos dessa maneira. Eles sabiam quase imediatamente, no entanto, que desta vez o vazamento de dados era sério.
Grandes Empresas Criam Grandes Bancos de Dados
A primeira coisa que os pesquisadores notaram foi o tamanho do banco de dados Elasticsearch. Ele pesava 264 GB, o que sugeria que provavelmente pertence a uma grande empresa. Com certeza, quando analisaram, perceberam que havia sido configurado pela Tech Data.
De acordo com Zack Whittaker da TechCrunch, o banco de dados exposto foi usado pelo serviço de nuvem StreamOne da Tech Data, que aparentemente processa não apenas as informações pessoais e financeiras dos clientes, mas também alguns registros e detalhes de back-end.
Era tão grande que Rotem e Locar simplesmente não tiveram tempo de examiná-lo completamente. Eles compartilharam uma parte dos dados com Zack Whittaker, que encontrou registros de "dezenas de milhares" de clientes, mas isso não é suficiente para nos dar uma idéia do tamanho do impacto. Whittaker pediu à Tech Data mais informações e a empresa reconheceu o incidente, embora tenha decidido não comentar os detalhes. O que sabemos com certeza é que o banco de dados continha uma variedade de dados verdadeiramente desconcertante.
A Tech Data Expôs Inadvertidamente uma Enorme Quantidade de Informações Pessoais e Comerciais
O StreamOne da Tech Data armazenou uma enorme quantidade de informações de identificação pessoal (PII) sobre usuários, incluindo nomes, email e endereços físicos, números de telefone, cargos, etc. O banco de dados também continha credenciais de login, detalhes do cartão de crédito e algumas informações de faturamento. Todos os dados, com exceção dos números dos cartões, foram armazenados em texto simples.
Como se isso não bastasse, o banco de dados com vazamento continha informações nas quais os concorrentes da Tech Data certamente poderiam estar interessados, incluindo chaves de API privadas, endereços IP e uma variedade de outros detalhes de back-end.
Rotem e Locar deram crédito à equipe de segurança da Tech Data por sua reação relativamente rápida. Embora a empresa não tenha respondido ao alerta inicial dos pesquisadores em 2 de junho, ela respondeu dois dias depois quando a segunda ligação chegou. Em poucas horas, o banco de dados ficou offline e ficou inacessível desde então. Agir rapidamente em caso de vazamento de dados é realmente muito importante. Dito isto, uma empresa do calibre da Tech Data provavelmente deveria ter impedido que a exposição acontecesse em primeiro lugar.
