São Paulo — InkDesign News — O vazamento de dados ocorrido na SABO, uma conhecida empresa de moda e design sediada na Austrália, expôs informações de mais de 3,5 milhões de clientes. A falha de segurança, identificada pelo pesquisador de cibersegurança Jeremiah Fowler, envolveu um banco de dados mal configurado e desprotegido, contendo 292 GB de dados sensíveis. A descoberta levanta preocupações sobre a segurança da informação e a proteção de dados pessoais.
Incidente e vulnerabilidade
O incidente foi caracterizado por um banco de dados mal configurado, que permitiu acesso não autorizado a uma vasta quantidade de informações. Embora o CVE (Common Vulnerabilities and Exposures) específico ainda não tenha sido designado, a natureza da vulnerabilidade aponta para falhas na segurança de armazenamento de dados. O acesso não autorizado expôs dados pessoais identificáveis (PII), como nomes, endereços físicos e eletrônicos, números de telefone e detalhes de pedidos de clientes, incluindo documentos como faturas e comprovantes de envio.
Impacto e resposta
Os dados expostos, que somam aproximadamente 3.587.960 registros, incluem informações sensíveis e relatórios de compras. A SABO, enquanto empresa em si, está em processo de averiguação para determinar a origem da gestão do banco de dados, se diretamente pelos próprios ou por um terceiro. A segurança de suas informações é especialmente preocupante, dado que a falta de criptografia permite que cibercriminosos explorem esses dados para ataques de phishing. Jeremiah Fowler comentou:
“Esses golpes costumam utilizar números de pedidos reais e detalhes de compras, tornando-os incrivelmente difíceis de distinguir de comunicações legítimas.”
(“These types of scams often leverage real order numbers and purchase details, making them incredibly difficult to distinguish from legitimate communications.”)— Jeremiah Fowler, Pesquisador de Cibersegurança
Mitigações recomendadas
A SABO agiu rapidamente após a divulgação responsável de Fowler, conseguindo segurar o banco de dados comprometido. Essa situação ressalta a importância da criptografia de dados e da implementação de práticas de segurança robustas. É vital que os clientes verifiquem endereços de e-mail e confirme sua autenticidade antes de interagir com conteúdos recebidos. Para prevenir ataques de phishing, recomenda-se: 1) evitar comunicações inesperadas que solicitam informações pessoais; 2) utilizar os canais oficiais da empresa para confirmar pedidos suspeitos.
Para garantir a proteção de dados no futuro, as organizações devem adotar políticas de segurança mais rigorosas, envolvendo treinamento de colaboradores em práticas de segurança e regulamentações adequadas a normativas de proteção de dados.
Embora a exposição tenha sido contida, os riscos residuais permanecem, e as empresas devem permanecer vigilantes em relação à segurança da informação para minimizar a exploração de dados pessoais expostos. Os próximos passos devem envolver auditorias de segurança mais frequentes e a formação contínua de equipes na defesa contra ciberataques.
Fonte: (Hack Read – Segurança Cibernética)
