Veja o que acontece quando um contratado da Sprint expõe as contas da AT&T, T-Mobile e Verizon

Sprint Contractor Data Leak

Em seu site (que, em uma nota não relacionada, é carregado por HTTP e não por HTTPS), a Deardorff Communications, uma empresa de marketing e comunicação com sede na Geórgia, diz que sua equipe tem uma grande experiência em diversas áreas, incluindo planejamento estratégico, vendas, publicidade etc. Infelizmente, quando se trata de configurar os buckets de armazenamento do Amazon Web Service, seu conhecimento está faltando um pouco.

Um funcionário de Deardorff colocou pouco mais de um quarto de milhão de documentos em um bucket do Amazon S3, falhou ao definir uma senha e esqueceu de alterar as configurações de acessibilidade de "público" para "privado". Como resultado, o bucket, juntamente com todos os arquivos nele, pode ser visualizado de qualquer lugar do mundo. Não é de surpreender que, a certa altura, os pesquisadores de uma empresa de testes de penetração chamada Fidus Information Security, as mesmas pessoas que revelaram uma falha de segurança no novo eRosary do Vaticano, bem como um vazamento de dados pelo editor do Magic: The Gathering, acabassem olhando o balde de Deardorff.

Contas telefônicas e muitas informações confidenciais deixadas em aberto

Havia pouco mais de 260 mil documentos no balde, e a maioria deles era de contas de celular pertencentes aos assinantes da AT&T, T-Mobile e Verizon. Deardorff coletou todos esses arquivos porque a Sprint, um de seus maiores clientes, queria convencer os assinantes a mudar de provedor de serviços de telefonia celular. De acordo com um dos documentos, a Sprint estava preparada para pagar as taxas de rescisão antecipada, apenas para garantir que mais pessoas usassem seus serviços.

As próprias contas telefônicas revelam muitas informações pessoais e detalhes de contato, além de frequentemente conter registros de chamadas, que algumas pessoas provavelmente preferem não compartilhar com o resto do mundo. Além de tudo isso, os pesquisadores também encontraram um extrato bancário e uma captura de tela que revelavam os nomes de usuário, senhas e PINs on-line de um número desconhecido de assinantes.

No início, não estava claro quem havia exposto os dados. Logo após encontrar o balde, os especialistas notificaram a Amazon, que entrou em contato com o proprietário dos dados e o colocou offline. Por razões legais, no entanto, a Amazon se recusou a dizer a Fidus quem era o responsável pelo vazamento.

Os dados foram compartilhados com Zack Whittaker, do TechCrunch, que executou alguns dos arquivos através de um verificador de metadados e descobriu que provavelmente era de propriedade de Deardorff. Jeff Deardorff, presidente da empresa de marketing, admitiu que um de seus funcionários era responsável pelo vazamento e prometeu que faria o possível para descobrir o que havia de errado e o que pode ser feito para evitar incidentes semelhantes no futuro.

Vazamentos de dados como esse são muito comuns

Alguns de vocês podem dizer que isso está longe de ser o mais terrível incidente de segurança de dados e que muitos outros documentos podem ser muito mais perigosos. Uma rápida olhada na sua última conta telefônica regular revela, no entanto, que o que parece ser um pedaço de papel inócuo realmente contém informações que podem facilmente levar ao roubo de identidade. Nesse caso específico, Deardorff também revelou senhas e números de PIN dos assinantes, o que aumenta o risco de ataques como troca de SIM e preenchimento de credenciais.

O verdadeiro problema é que vazamentos semelhantes acontecem diariamente. Na maioria das vezes, eles são causados por erros de configuração facilmente evitáveis e bastante simples, mas a falta de educação significa que as pessoas de TI não sabem o que fazer quando têm a tarefa de armazenar com segurança os dados dos usuários.

Deardorff não disse quando o balde foi aberto pela primeira vez ao público, e ninguém pode confirmar se os cibercriminosos conseguiram ou não acessá-lo antes de ser colocado offline. Zack Whittaker pediu à AT&T, Verizon e T-Mobile mais comentários, mas ele não recebeu nada substancial, provavelmente porque os três provedores de telecomunicações simplesmente não têm nada a acrescentar. O resultado é que não sabemos quantas pessoas foram potencialmente afetadas pelo vazamento, o que significa que, se você é um assinante da AT&T, Verizon ou T-Mobile ou se mudou deles para o Sprint, convém atente a quaisquer sinais de fraude ou roubo de identidade.

December 6, 2019

Deixe uma Resposta