Um chocante vazamento de dados do aplicativo do conjunto de chaves expôs 14 milhões de usuários

Se você ainda acha que vazamentos sérios de dados não são tão comuns, temos uma história que pode estar prestes a mudar de idéia. Em janeiro, uma equipe de pesquisadores liderada por Noam Rotem e Ran Locar encontrou um bucket do AWS S3 mal configurado que estava expondo uma grande quantidade de informações. Infelizmente, em seu artigo para o vpnMentor, os especialistas admitiram que estavam tão ocupados relatando outros vazamentos de dados na época que não puderam investigar o problema imediatamente e notificar as pessoas responsáveis pela exposição. Somente um mês depois eles finalmente começaram a trabalhar nesse vazamento em particular.

Os provedores de serviços ainda estão lutando para se familiarizar com os mecanismos de segurança oferecidos pelas soluções de armazenamento em nuvem, e os vazamentos aparecem à esquerda, à direita e no centro. Os especialistas são incapazes de acompanhar e, como sempre, o usuário inocente fica com as consequências. Nesse caso, as possíveis consequências foram enormes.

O aplicativo Key Ring expõe as carteiras digitais dos usuários ao mundo inteiro

O primeiro balde encontrado pelos pesquisadores continha 44 milhões de imagens. São muitos dados, mas a parte realmente chocante é a natureza das informações expostas. Assim que encontraram tempo para investigar, os pesquisadores descobriram que o bucket S3 configurado incorretamente pertencia ao Key Ring - um aplicativo móvel que oferece, entre outras coisas, a opção de digitalizar a maior parte do conteúdo da sua carteira. Permite fotografar e armazenar cópias virtuais de pensamentos como cartões de associação e cartões-presente. Algumas das 14 milhões de pessoas que usam o aplicativo também enviaram digitalizações de seus cartões de crédito e documentos de identificação pessoal. Enquanto eles estavam fazendo isso, eles provavelmente pensaram que seus dados seriam armazenados com segurança. Eles estavam errados.

O balde S3 mal configurado continha varreduras de cartões de crédito, cartões de afiliação e lealdade, cartões de cannabis medicinal, carteiras de motorista e outros documentos de identificação. As imagens foram armazenadas completamente nítidas e acessíveis a partir de qualquer lugar do mundo. Você já pode ver o quanto o vazamento pode afetar os usuários. Infelizmente, esse não foi o fim.

Os baldes S3 mal configurados da Key Ring vazaram toneladas de informações pessoais

No mesmo balde, os pesquisadores encontraram alguns arquivos CSV que continham informações de identificação pessoal (PII) que pertencem a milhões de pessoas. Essas pessoas estavam nas listas de membros dos parceiros da Key Ring, como o Walmart, e as listas continham uma infinidade de detalhes pessoais, como nomes, endereços, datas de nascimento, etc.

Após um pouco mais de discussão, a equipe de Noam Rotem e Ran Locar localizou mais quatro baldes S3 configurados incorretamente associados ao Key Ring. Eles continham instantâneos antigos do banco de dados do aplicativo e expunham, entre outras coisas, os endereços de e-mail e endereços residenciais dos usuários, IPs, informações do dispositivo etc. Os bancos de dados também possuíam senhas que, segundo os pesquisadores, eram "criptografadas". Infelizmente, o mecanismo para embaralhá-los permanece incerto.

Também não se sabe se os pesquisadores foram os únicos que conseguiram encontrar os dados expostos. Em 18 de fevereiro, eles finalmente conseguiram entrar em contato com Key Ring e Amazon e, dois dias depois, os baldes foram retirados do ar, mas, neste momento, não sabemos quando foram colocados. Infelizmente, devemos salientar que, embora as informações tenham sido obtidas com relativa rapidez, a atitude de Key Ring em relação ao incidente é quase exemplar.

Quando ocorrem vazamentos como esse, os usuários esperam receber notificações individuais que informam o que aconteceu e o que precisam procurar. Enquanto isso, o público em geral espera um anúncio oficial do fornecedor, que também fornece detalhes sobre o incidente e as precauções tomadas para garantir que isso não ocorra novamente. Com o chaveiro, não vimos nenhuma dessas coisas.

O volume dos dados expostos, juntamente com a falta de resposta oficial, significa que não podemos fazer nada além de supor que todos os 14 milhões de usuários do Key Ring sejam afetados. Se você é um deles, deve ser muito mais cauteloso do que normalmente, especialmente se tiver armazenado dados confidenciais com o aplicativo.