Passion.io sofre breach e expõe dados de 3,6 milhões de criadores

São Paulo — InkDesign News — Um vazamento massivo de dados comprometeu as informações pessoais de mais de 3,6 milhões de criadores de aplicativos, influenciadores e empreendedores, segundo um relatório da vpnMentor. O especialista em cibersegurança, Jeremiah Fowler, descobriu um banco de dados desprotegido contendo 12,2 terabytes de dados sensíveis vinculados a uma plataforma de construção de aplicativos.

Incidente e vulnerabilidade

O banco de dados exposto, que não era criptografado e não estava protegido por senha, continha 3.637.107 registros. Esses registros incluíam nomes, endereços de e-mail, endereços físicos e detalhes sobre pagamentos, aparentemente de usuários e criadores de aplicativos. A vulnerabilidade identificada é uma má configuração de banco de dados, permitindo acesso público sem controle adequado.

Impacto e resposta

As informações comprometidas, que incluem dados pessoalmente identificáveis (PII) como nomes, endereços e até imagens, apresentam riscos significativos. Jeremiah Fowler alerta que tais dados podem ser utilizados por criminosos para “ataques de phishing ou engenharia social”, frequentemente utilizados como ponto de partida para cibercrimes. Além disso, a exposição de imagens de perfis de usuários, que incluíam crianças, suscita sérias preocupações de privacidade. Estes dados poderiam ser utilizados para impersonificação, criação de contas falsas ou outros golpes online.

A exposição de dados sensíveis pode levar a consequências devastadoras, não apenas para os indivíduos afetados, mas também para os criadores de conteúdo que dependem de suas informações para gerar receita.
(“The exposure of sensitive data can lead to devastating consequences, not just for the individuals affected but also for content creators relying on their information for revenue.”)

— Jeremiah Fowler, Especialista em Cibersegurança

Após a descoberta do vazamento, Fowler informou imediatamente a Passion.io, que restringiu rapidamente o acesso público ao banco de dados. A empresa reconheceu o problema, afirmando que sua “Equipe de Privacidade e o time técnico estão trabalhando para corrigir a falha, garantindo que isso não ocorra novamente.”

Mitigações recomendadas

Para prevenir eventos como o ocorrido com a Passion.io, recomenda-se a adoção de boas práticas de segurança. Primeiro, é essencial implementar controles de autenticação e acesso, como a autenticação multifator e o uso de acesso baseado em funções para limitar quem pode visualizar ou modificar dados sensíveis. Além disso, todas as informações devem ser criptografadas tanto em repouso quanto em trânsito, utilizando protocolos de criptografia robustos.

A formação contínua das equipes de DevOps sobre as melhores práticas de segurança é fundamental para mitigar riscos associados a configurações inadequadas e expostas.
(“Continuous training of DevOps teams on security best practices is crucial to mitigate risks associated with improper and exposed configurations.”)

— Especialista em Segurança Cibernética

Auditorias de segurança regulares e testes de penetração também são críticos. Estabelecer alertas para exposição pública ou padrões de acesso incomuns e utilizar ferramentas de segurança em nuvem para detectar configurações inadequadas são práticas recomendadas. Por fim, treinar equipes técnicas em políticas de segurança e gestão de permissões pode ajudar a evitar futuras brechas.

Considerando os riscos residuais, a implementação de um patch e a revisão de práticas de segurança devem ser prioridades para proteger informações pessoais sensíveis e evitar novos vazamentos.

Fonte: (Hack Read – Segurança Cibernética)