São Paulo — InkDesign News — Um incidente de exposição de dados foi revelado na Rockerbox, uma consultoria de créditos fiscais situada no Texas, EUA. Um pesquisador em cibersegurança, Jeremiah Fowler, descobriu um banco de dados sem proteção por senha, revelando uma vulnerabilidade significativa relacionada ao manuseio de informações sensíveis.
Incidente e vulnerabilidade
A instância de comprometimento envolveu a exposição alarmante de 245.949 registros, totalizando 286,9 GB de dados. Este extenso conjunto de dados continha diversos tipos de informações pessoalmente identificáveis (PII), incluindo nomes completos, datas de nascimento, números de Seguro Social e endereços físicos. O PII é definido como qualquer dado que possa identificar um indivíduo, enquanto o número de Seguro Social é um identificador único utilizado nos Estados Unidos para diversos propósitos governamentais.
Os registros expostos também incluíam documentos de identificação sensíveis, como carteiras de motorista e formulários DD214, que atestam a liberação de um veterano das Forças Armadas. Segundo Fowler, a falta de controle de acesso e a exposição geral de dados sensíveis ressaltam um vetor de ataque que poderia ser explorado por criminosos cibernéticos.
Impacto e resposta
A abrangente exposição dos dados implica riscos significativos, como ataques de phishing, roubo de identidade e fraude financeira, dado que elementos de informação pessoal e financeira podem ser utilizados para ganhos ilícitos. Após notificação imediata a Rockerbox, o banco de dados foi protegido contra acesso público alguns dias depois, mas não houve resposta ao aviso de divulgação responsável. A incerteza persiste sobre a gestão do banco de dados, se foi administrado diretamente pela Rockerbox ou por um contratante terceirizado.
“Para empresas e organizações que coletam e armazenam dados pessoais potencialmente sensíveis em repositórios de armazenamento em nuvem, é fundamental implementar as medidas de segurança adequadas para proteger essas informações. Isso começa com controles de acesso e limitações sobre quem pode visualizar e manipular quais informações.”
(“For companies and organizations that collect and store potentially sensitive personal data in cloud storage repositories, it is important to implement the proper security measures to protect that information. This starts with access controls and limiting who (from both inside and outside of the organization) can see and manipulate which pieces of information.”)— Jeremiah Fowler, Pesquisador de Cibersegurança
Mitigações recomendadas
Para mitigar incidentes semelhantes no futuro, é essencial que as organizações adotem práticas robustas de segurança cibernética. Isso inclui a implementação de patches de segurança regulares e a utilização de criptografia para dados sensíveis. Além disso, será necessário um plano de resposta a incidentes, incluindo a monitorização contínua dos dados e avaliações periódicas de sistemas. A formação dos funcionários em segurança da informação e a escolha criteriosa de provedores de serviços terceirizados são igualmente cruciais para evitar futuras exposições de dados.
Concentra-se na implementação de práticas de segurança eficazes e no gerenciamento rigoroso de acessos.
(“Focus on implementing effective security practices and strict access management.”)— Especialista em Segurança de Dados
Os riscos residuais desta situação persistem, pois questões sobre a duração da exposição e o potencial acesso não autorizado aos dados ainda permanecem sem resposta. Avançar em práticas de defesa robustas e colaborar com especialistas em cibersegurança se torna fundamental para garantir a proteção das informações sensíveis nos próximos passos.
Fonte: (Hack Read – Segurança Cibernética)
