Brecha no Amazon Cloud Service Bucket Expõe Dados de 4Mi de clientes do Dow Jones

Existe um brecha no seu Amazon Web Services Bucket?

Muitas organizações agora dependem desses Buckets baseados em nuvem, ou containers virtuais, para armazenar e compartilhar dados. Por padrão, o AWS Simple Storage Service, ou S3, contêineres não são acessíveis ao público, e o acesso pode ser rigorosamente restringido. Mas muitas organizações inadvertidamente desconfiguraram seus compartimentos para permitir o acesso “público” ou semipúblico, o que pode resultar em exposição de dados.

Nos últimos meses, organizações como Verizon, World Wrestling Entertainment, Scottrade e Deep Root Analytics foram responsabilizaram seus usuários pelo conteúdo de seus buckets S3 estarem expostos.

Adicione a essa lista Dow Jones, uma empresa de negócios e notícias financeiras que possui o Wall Street Journal.

 

Hole in the Cloud Service Bucket: Dow Jones Data Exposed

Sede da Dow Jones em Nova York. (Foto: Dow Jones)

No domingo, Dow Jones disse que cerca de 2,2 milhões de detalhes dos clientes foram expostos devido a uma má configuração da Amazon S3 Bucket.

Fomos informados de que determinado assinante Dow Jones / WSJ e conteúdo de Risco e Conformidade estava exposto demais na Amazon Cloud (e não na internet aberta). Isto foi devido a um erro interno, não um hacker ou ataque“, disse um porta voz do Dow Jones ao Information Security Media Group.

Os detalhes expostos incluíam nomes de clientes, endereços de e-mail e endereços, e os últimos quatro dígitos do número de cartão de crédito de 4 milhões de clientes.

A exposição de dados foi descoberta por Chris Vickery, pesquisador da equipe de risco cibernético no fornecedor de segurança UpGuard, no dia 31 de maio. UpGuard diz que notificou a Dow Jones sobre o problema de segurança em 5 de junho e que o bucket parece ter sido protegido no dia seguinte.

A UpGuard estima de forma conservadora” que até 4 milhões de clientes possam ter sido expostos.

Diante das últimas notícias de vazamentos no Amazon Cloud Service Buckets recomenda-se que todos as empresas que utilizem o serviço realizem um security assessment e verifiquem suas configurações de privacidade e segurança como forma de evitar exposições desnecessárias.

fonte: Bank Information Security  by 
por MindSec  21/07/2017

 

 

About mindsecblog 271 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.