AWS bucket mal configurado expõe dados de 12.000 influenciadores das mídias sociais.
Serviço mal configurado na nuvem de armazenamento S3 da Amazon Web Services (AWS) expos dados sensíveis de 12.000 influenciadores das mídias sociais, a maioria das quais eram do sexo feminino e mesmo após diversos avisos e eliminação da base sql, os dados continuaram expostos em outros arquivos e planilhas.
Em 4 de janeiro, o pesquisador da UpGuard Chris Vickery descobriu o bucket contendo os nomes reais, endereços, números de telefone, endereços de e-mail – incluindo os especificados para uso com o PayPal, dos populares usuários das redes sociais Instagram, Twitter e YouTube, de acordo com um blog de 5 de fevereiro.
A UpGuard Cyber Risk Team divulgou que um armazenamento na nuvem pertencente à Octoly, uma empresa de marketing de marca baseada em Paris, foi exposto, revelando um backup das operações de TI da empresa e informações confidenciais sobre milhares de personalidades online registradas da empresa. O vazamento, que resultou de configuração errônea do repositório para acesso público, revelou a informação de contato e os detalhes pessoais de mais de doze mil “criadores” influentes – em grande parte as personalidades de Instagram, Twitter e YouTube utilizadas pela Octoly em trabalhos com produtos de beleza, mercadorias e conteúdo de jogos dos clientes da indústria de marketing da indústria, que incluem nomes como Dior, Estée Lauder, Lancôme e Blizzard Entertainment.
“Após múltiplas notificações da exposição à entidade afetada, até o dia 12 de janeiro, o backup de sql prejudicial teria sido excluído do repositório“, disse o post. “Permaneceu exposto, no entanto, uma grande quantidade de planilhas regularmente atualizadas contendo informações de identificação pessoal – dados que não seriam garantidos até 1º de fevereiro, apesar de mais notificações“.
Os pesquisadores observaram que, enquanto a informação financeira estava comprometida, o vazamento prejudica a credibilidade das marcas e, mais importante, é exposto ao assédio e ao ciber falatório on-line.
O diretor executivo da CyberGRX, Fred Kneip, disse que esses tipos de infrações estão se tornando cada vez mais comuns à medida que os ecossistemas digitais se expandem e as organizações confiam em mais fornecedores, clientes e terceiros com a segurança de seus dados.
Problemas como este não é a primeira vez que acontece. Ano passado o blog Minuto da Segurança divulgou outros eventos similares como a Dow Jones expôs dados de 4 milhões de clientes e a Verizon expôs dados de 14 milhões de clientes. Estes eventos nos levam a refletir sobre a real necessidade de realizar um profundo assessment de segurança no ambiente de nuvem utilizado, porém não somente na nuvem da empresa, mas também na nuvem (e ambientes) utilizados por fornecedores de serviços, como no caso da Octoly.
Veja também:
- Brecha no Amazon Cloud Service Bucket Expõe Dados de 4Mi de clientes do Dow Jones
- Dados de 14milhões de clientes da Verizon são expostos na Amazon AWS e podem ser permitir sequestro de outras contas on-line
- A Cisco acidentalmente perde os dados do cliente devido ao erro de configuração da nuvem Meraki
- Amazon Lança Serviço de Proteção de Dados na AWS
- Ransomware encrypta o disco e ameaça deletar 24 arquivos a cada 24 horas.
- MP quer que Netshoes notifique 2 Milhões de clientes sobre vazamento de dados pessoais
- Malware cross-plataforma é difícil de ser detectado pelas soluções de AV
- Dados de 10 milhões de clientes do Buscapé está na rede
- Como proteger dados sensíveis de ataques de hackers
Por Kleber Melo - Sócio Diretor da MindSec Segurança e Tecnologia da Informação
3 Trackbacks / Pingbacks