A privacidade de 50.000 usuários obtém comprometida em meio a uma violação de dados
Em maio de 2017, uma plataforma de venda de ingressos com o nome de Qnect divulgou as notícias por todos os motivos errados. A base de usuários do Qnect era composta principalmente por estudantes australianos que de repente começaram a receber alguns SMSs estranhos e não solicitados. Os textos foram enviados por hackers que invadiram os sistemas do Qnect e roubaram os dados de alguns de seus usuários. As mensagens diziam que, a menos que um resgate fosse pago, os dados seriam tornados acessíveis ao público, e os usuários foram convidados a persuadir o gerenciamento do Qnect a liberar os bitcoins.
Não está claro como toda a história se desenrolou. O que sabemos é que o Qnect agora é chamado de Get. Também sabemos que a privacidade de seus usuários está novamente ameaçada.
Índice
Um aluno descobre uma grande violação de dados por acidente
Um estudante da Universidade de New South Wales estava tentando usar os serviços da Get quando descobriu que, graças a uma implementação insegura de algumas APIs, as informações pessoais de cerca de 50 mil pessoas (ou um terço de toda a base de usuários da Get) podem ser obtidas com aterrorizante facilidade. O aluno em questão usou sua conta do Reddit para compartilhar a história com todos e começou dizendo que atualmente está fazendo pesquisas de graduação em empresas que sofreram violações de dados. A descoberta não foi feita durante sua pesquisa, no entanto.
O que ele estava tentando fazer era encontrar uma sociedade Get no site da plataforma. Por sorte, ele digitou errado o nome da sociedade e os resultados que pareciam parecer bastante interessantes. O erro de digitação significava que, em vez de informações úteis que deveriam ser acessíveis ao público, ele estava analisando os dados pessoais dos alunos que usaram o Get. Ele então digitou os nomes de um de seus amigos no mecanismo de pesquisa e ficou chocado ao descobrir que a Get estava revelando livremente os detalhes pessoais de seus usuários.
O aluno então usou seus conhecimentos para examinar mais de perto e rapidamente percebeu que havia "uma série de" práticas inadequadas. Obviamente, o maior problema estava no fato de o serviço de pesquisa estar derramando informações pessoais e, como se isso não bastasse, não era necessário nenhum tokens, o que significa que qualquer pessoa, independentemente de ter ou não uma conta Get, poderia usá-lo.
Alguém aparentemente vasculhou os dados expostos
De acordo com o aluno que descobriu a violação de dados, há "evidências abundantes" de ataques de injeção de SQL nesta seção específica da infraestrutura da Get. Ele parece bastante convencido de que alguém conseguiu colocar as mãos nas informações expostas diante dele. Isso significa que a natureza dos dados vazados é ainda mais importante.
Felizmente, todos os pagamentos são processados por um processador de terceiros, o que significa que os detalhes financeiros não foram expostos. Também não há evidências de senhas vazadas, o que também é uma boa notícia.
Os detalhes revelados durante a violação incluem nomes, IDs do Facebook, aniversários e números de telefone. Na verdade, não é o vazamento mais sensível, mas os usuários do Get ainda devem estar atentos a chamadas fraudulentas, textos semelhantes aos que estavam recebendo cerca de dois anos e meio atrás e e-mails de phishing.
Resposta de Get
O aluno que descobriu a violação disse que, antes de compartilhar suas descobertas com o Reddit, ele tentou se aproximar de alguém da Get e divulgar o problema com responsabilidade. Aparentemente, ele não obteve resposta. A história de Get, no entanto, é um pouco diferente.
Segundo ele, o pessoal de TI da Get ouviu falar sobre o problema pela primeira vez em 6 de setembro, quando "várias organizações" disseram que seus sistemas podem estar vulneráveis. No sábado, as chamadas inseguras à API foram tokenizadas e, desde então, a equipe tem trabalhado duro para investigar o que deu errado e por quê.
A Get tem emitido atualizações diárias que, infelizmente, não forneceram muita informação adicional. A plataforma não parece particularmente interessada em discutir as evidências de ataques anteriores mencionados pelo aluno que descobriu a violação, e não diz nada sobre outra vulnerabilidade discutida no mesmo segmento do Reddit.
Em suma, temos um cenário de ele disse que ela disse, o que significa que não é muito fácil avaliar o quão bem o Get reagiu à coisa toda. Uma coisa que ninguém está disposto a discutir, no entanto, é que a mesma empresa (embora com um nome diferente) registrou dois incidentes de violação de dados em apenas dois anos. E isso definitivamente não está dando uma boa olhada.
