São Paulo — InkDesign News — A Vanta, uma empresa de automação de conformidade, reconheceu uma vulnerabilidade crítica em seu software, que expôs informações privadas de clientes a outros usuários, impactando centenas de organizações em maio de 2023.
Incidente e vulnerabilidade
O incidente foi descoberto pela própria equipe da Vanta em 26 de maio. Uma mudança no código do produto resultou na exposição indevida de dados sensíveis, incluindo informações sobre funcionários, configuração de contas e uso de autenticação de dois fatores (MFA). A Vanta afirmou que “fewer than 4% of customers” (menos de 4% dos clientes) foram afetados, o que ainda representa centenas de empresas com dados comprometidos. A empresa também identificou que a exposição afetou menos de 20% de suas integrações com serviços de terceiros.
Impacto e resposta
A vulnerabilidade permitiu que dados de contas de funcionários fossem erroneamente puxados para outros ambientes de clientes da Vanta. O Chief Product Officer da Vanta, Jeremy Epling, confirmou o incidente, informando que “a subset of data from fewer than 20% of our third-party integrations being exposed to other Vanta customers” (um subconjunto de dados de menos de 20% de nossas integrações de terceiros foi exposto a outros clientes da Vanta). A empresa já começou a notificar todos os afetados que tiveram seus dados inseridos incorretamente em instâncias de outros clientes.
Mitigações recomendadas
A Vanta está trabalhando ativamente para corrigir a vulnerabilidade, com um prazo para a conclusão do processo até 4 de junho. É essencial que empresas que utilizam plataformas centralizadas para gestão de informações sensíveis estejam cientes dos riscos associados a mudanças internas que podem levar à mistura de dados. Os clientes devem implementar práticas robustas de segurança, como revisar configurações de acesso, atualizar regularmente a segurança de suas plataformas e realizar auditorias frequentes de seus sistemas.
“Este evento é um exemplo claro de que até mesmo sistemas projetados para garantir segurança podem ter fragilidades.”
(“This event is a clear example that even systems designed to ensure security can have weaknesses.”)— Jeremy Epling, Chief Product Officer, Vanta
Os riscos residuais incluem a possibilidade de acesso indevido a dados por parte de terceiros, antes que a correção completa seja implementada. As organizações devem manter vigilância e estar preparadas para responder rapidamente a qualquer nova ameaça à segurança.
Fonte: (Hack Read – Segurança Cibernética)
