Banco de Dados mau Configurado Expõe Dados de Meio Milhão de Passaportes no México

O site do reembolso de imposto Mexicano MoneyBack expôs informações de clientes sensíveis online por causa de um banco de dados mal configurado.

Um banco de dados do CouchDB com detalhes de meio milhão de passaporte dos clientes, números de cartão de crédito, passagens de viagem e muito mais foi deixado acessível ao público, informou a empresa de segurança Kromtech.

Mais de 400 GB de informações confidenciais podem ser baixadas ou visualizadas por causa da falta de controles de acesso antes que o sistema tivesse sido recentemente protegido.

O reporte cita que os dados incluem 455.038 documentos digitalizados, incluindo 88.623 números de passaportes exclusivos, relacionados a pessoas que reivindicavam um reembolso de imposto sobre bens adquiridos ao sul da fronteira. Os passaportes identificados incluem cidadãos dos EUA, Canadá, Argentina, Colômbia, Itália e muitos mais.

A Kromtech descobriu um CouchDB mal configurado que permitiu o acesso público via navegador aos dados durante uma auditoria de segurança de rotina.

Aqueles que seguem as notícias de cibersegurança podem lembrar que, no início de 2017, 10% dos servidores do CouchDB eram vítimas do Ransomware por causa da mesma configuração errada.

Embora o MoneyBack esteja baseado no México, o endereço de hospedagem e IP está localizado nos Estados Unidos. O banco de dados ficou acessível ao público e não exigiu proteção alguma por senha ou outra autenticação para visualizar ou fazer o download completo do repositório da MoneyBack.

Bob Diachenko, diretor de comunicação de segurança da Kromtech Security Center afirmou que: “O armazenamento de dados digitais incorretamente é uma das maiores ameaças que os consumidores, as empresas e os governos enfrentam. Os dados podem ser copiados, reproduzidos com muita facilidade e um pequeno erro pode expor tudo, como este demonstrou. Parece lógico que as organizações tenham cópias múltiplas de dados de produção no caso de algum tipo de evento catastrófico, ransomware, hacking ou outras ameaças. No entanto, os mesmos backups que fornecem uma espécie de “apólice de seguro” para se recuperar da perda de dados também é o mesmo culpado que faz com que um vazamento de dados seja mais provável. A realidade é que quanto mais as cópias que uma organização possui de seus dados, maior será a probabilidade de ocorrer um vazamento.

fonte  MacKeeper Security Research Center 

por MindSec  12/09/2017
About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.