O valor de uma década de dados de usuários particulares foi exposto pelo Rallyhood
Quando Zack Whittaker, do TechCrunch, entrou em contato com o Rallyhood para falar sobre um bucket S3 mal configurado que expunha muitos dados do usuário, ele foi informado inicialmente de que o banco de dados com vazamento era usado apenas para fins de teste e que as informações reais das pessoas eram mantidas 'em um balde altamente seguro. Mais tarde, Chris Alderson, diretor de tecnologia da Rallyhood, forneceu uma versão diferente dos eventos. Ele admitiu que, durante um projeto de migração, "as permissões foram deixadas por engano em aberto" em um dos baldes de armazenamento da empresa por "um breve período". No momento da redação deste artigo, essa é a única informação que o Rallyhood compartilhou com o resto do mundo sobre o incidente, e deve-se dizer que isso dificilmente é ideal, dada a quantidade e a natureza dos dados vazados.
Outro dia, outro bucket S3 com vazamento expõe os arquivos de milhões de usuários
O vazamento foi descoberto por um pesquisador de segurança que prefere ser conhecido por seu identificador no Twitter, Timeless. A Timeless decidiu usar a influência do TechCrunch para garantir que os dados sejam protegidos o mais rápido possível, o que, à luz dos negócios da Rallyhood e da enorme base de usuários, era de fato a tarefa mais urgente.
A popularidade do site recebeu um grande impulso quando o Yahoo anunciou que está prestes a acabar com o Yahoo Groups, e hordas de pessoas mudaram suas discussões para o Rallyhood. Devemos ressaltar, no entanto, que o Rallyhood é muito mais do que apenas um quadro de mensagens. É também uma plataforma de colaboração usada por organizações de todas as formas e tamanhos, com o objetivo de organizar e rastrear tarefas e eventos. Isso significa que o Rallyhood precisa processar e armazenar muitos dados.
A empresa não diz quantos usuários ativos a plataforma possui e estimar o número exato de pessoas afetadas pelo vazamento não é realmente possível no momento. O que sabemos é que o bucket do S3 continha 4,1 TB de dados e que, graças a um erro de configuração muito comum, estava acessível ao público sem uma senha. Segundo Zack Whittaker, o URL também era "fácil de adivinhar", o que tornava ainda mais real a possibilidade de alguém colocar as mãos nas informações.
Alguns dos dados expostos são extremamente sensíveis
Whittaker analisou alguns dos arquivos e encontrou os detalhes de contato que lhe permitiam entrar em contato com os usuários afetados e verificar a autenticidade do vazamento. Infelizmente, além de telefones e endereços de e-mail, o balde continha muito mais informações.
O repórter do TechCrunch encontrou qualquer coisa, desde contratos e notas de permissão a acordos de não divulgação e listas de senhas compartilhadas que definitivamente não deveriam estar acessíveis ao público. Como já mencionamos, o CTO da Rallyhood tentou fazer alguma limitação de dano dizendo ao TechCrunch que a exposição não durou muito, mas ele preferiu não dizer o quão "breve" o "breve período" foi. O que sabemos com certeza é que alguns dos arquivos no banco de dados vazado tinham um carimbo de data / hora de 2011. Infelizmente, apesar do fato de haver quase uma década de arquivos particulares no banco de dados mal configurado, o Rallyhood se recusou a informar ao TechCrunch se a empresa tem planos de informar os indivíduos potencialmente afetados sobre isso.
Em suma, até agora, o Rallyhood demonstrou uma distinta falta de transparência ao lidar com o que é, sem dúvida, um vazamento de dados bastante sério. A empresa cometeu claramente um erro, o que dificilmente é uma coisa boa, mas a impressão realmente ruim vem do fato de que ela age como se não estivesse disposta a aceitar a responsabilidade.
