São Paulo — InkDesign News — Uma grave vulnerabilidade de segurança resultou na exposição de uma vasta coleção de dados pertencentes a clientes da ClaimPix, uma plataforma baseada em Illinois dedicada ao gerenciamento de reclamações de seguros automotivos nos Estados Unidos.
Incidente e vulnerabilidade
Um banco de dados contendo mais de 5,1 milhões de arquivos e com um total de 10,7 terabytes de dados foi encontrado por um pesquisador em segurança cibernética, Jeremiah Fowler, sem proteção por senha e completamente desprotegido. Essa descoberta foi publicada pela Website Planet e compartilhada no Hackread.com. Os registros expostos incluem informações pessoais identificáveis (PII), como nomes, endereços residenciais, números de telefone e e-mails dos clientes. O vazamento abrange documentos mais sensíveis, como registros de veículos, faturas de reparo e imagens de carros danificados que mostram claramente placas de licença e Número de Identificação do Veículo (VIN).
Impacto e resposta
A exposição inclui cerca de 16.000 documentos de Procuração (POA), o que significa que os criminosos podem usar esses dados para fraudes, roubos de identidade e até mesmo a criação de uma identidade falsa. O acesso a informações como VINs e placas de veículos representa um risco adicional de “clonagem de veículos”, que é comparável ao roubo de identidade. ClaimPix reconheceu a gravidade do incidente, restringindo imediatamente o acesso ao banco de dados após ser notificado sobre a falha de segurança. A empresa confirmou as descobertas e anunciou que “atualizou suas políticas e seu código para abordar essa questão”, implementando as mudanças de forma rápida.
Mitigações recomendadas
Embora a ClaimPix tenha implementado medidas de contenção, permanece incerto se o banco de dados era gerenciado internamente ou por um fornecedor terceirizado. Para mitigar futuras exposições, recomenda-se que as empresas implementem patches de segurança regulares e adotem boas práticas de proteção de dados. As orientações incluem o uso de criptografia para informações sensíveis, o treinamento de funcionários em práticas de cibersegurança e a realização de auditorias de segurança periódicas.
A coleta não deve ser realizada sem a devida proteção e temos a responsabilidade de garantir a segurança das informações de nossos clientes.
(“Data collection should not be performed without adequate protection, and we have the responsibility to ensure the security of our clients’ information.”)— Jeremiah Fowler, Pesquisador em Segurança Cibernética
Os riscos residuais incluem a possível vulnerabilidade a ataques futuros, devido à falta de clareza sobre a origem da falha. A ClaimPix deve continuar a trabalhar na transparência com seus clientes e na implementação de melhores práticas de segurança.
Fonte: (Hack Read – Segurança Cibernética)
