AWS mal configurado expõe dados paypal e mídias sociais de influentes

Personagens de empresa como Dior, Estée Lauder, Lancôme e Blizzard Entertainment são afetados

AWS bucket mal configurado expõe dados de 12.000 influenciadores das mídias sociais.

Serviço mal configurado na nuvem de armazenamento S3 da Amazon Web Services (AWS) expos dados sensíveis de 12.000 influenciadores das mídias sociais, a maioria das quais eram do sexo feminino e mesmo após diversos avisos e eliminação da base sql, os dados continuaram expostos em outros arquivos e planilhas.

Em 4 de janeiro, o pesquisador da UpGuard Chris Vickery descobriu o bucket contendo os nomes reais, endereços, números de telefone, endereços de e-mail – incluindo os especificados para uso com o PayPal, dos populares usuários das redes sociais Instagram, Twitter e YouTube, de acordo com um blog de 5 de fevereiro.

A UpGuard Cyber Risk Team divulgou que um armazenamento na nuvem pertencente à Octoly, uma empresa de marketing de marca baseada em Paris, foi exposto, revelando um backup das operações de TI da empresa e informações confidenciais sobre milhares de personalidades online registradas da empresa. O vazamento, que resultou de configuração errônea do repositório para acesso público, revelou a informação de contato e os detalhes pessoais de mais de doze mil “criadores” influentes – em grande parte as personalidades de Instagram, Twitter e YouTube utilizadas pela Octoly em trabalhos com produtos de beleza, mercadorias e conteúdo de jogos dos clientes da indústria de marketing da indústria, que incluem nomes como Dior, Estée Lauder, Lancôme e Blizzard Entertainment.

Após múltiplas notificações da exposição à entidade afetada, até o dia 12 de janeiro, o backup de sql prejudicial teria sido excluído do repositório“, disse o post. “Permaneceu exposto, no entanto, uma grande quantidade de planilhas regularmente atualizadas contendo informações de identificação pessoal – dados que não seriam garantidos até 1º de fevereiro, apesar de mais notificações“.

Os pesquisadores observaram que, enquanto a informação financeira estava comprometida, o vazamento prejudica a credibilidade das marcas e, mais importante, é exposto ao assédio e ao ciber falatório on-line.

O diretor executivo da CyberGRX, Fred Kneip, disse que esses tipos de infrações estão se tornando cada vez mais comuns à medida que os ecossistemas digitais se expandem e as organizações confiam em mais fornecedores, clientes e terceiros com a segurança de seus dados.

Problemas como este não é a primeira vez que acontece. Ano passado o blog Minuto da Segurança divulgou outros eventos similares como a Dow Jones expôs dados de 4 milhões de clientes e a Verizon expôs dados de 14 milhões de clientes. Estes eventos nos levam a refletir sobre a real necessidade de realizar um profundo assessment de segurança no ambiente de nuvem utilizado, porém não somente na nuvem da empresa, mas também na nuvem (e ambientes) utilizados por fornecedores de serviços, como no caso da Octoly.

Veja também:

 

Por Kleber Melo - Sócio Diretor da MindSec Segurança e Tecnologia da Informação
About mindsecblog 345 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!