Informações de 1,3Milhões de clientes da Walmart vazam em Bucket da Amazon S3 de parceiro

Similar ao caso Target, terceiro compromete as informações da empresa

19/03/2018 mindsecblog LGPD & PRIVACY, Notícias 3

Similar ao vazamento da Target anos atrás, o Walmart, gigante do varejo mundial, teve informações pessoais pertencentes a 1,3 milhões de clientes do parceiro de jóias Walmart, a MBM Company, expostas devido a má configuração do Amazon S3 bucket .

Em 6 de fevereiro de 2018, pesquisadores da segurança Kromtech encontraram outro balde Amazon s3 acessível ao público. Este continha um backup do banco de dados MSSQL, que foi encontrado para armazenar as informações pessoais, incluindo nomes, endereços, códigos postais, números de telefone, endereços de e-mail, endereços IP e, mais incrivelmente, senhas de texto simples, para contas de compra de mais de 1,3 milhão de pessoas (1.314.193 para serem exatas) em todo os EUA e no Canadá.

À primeira vista, os dados pareciam pertencer ao Walmart, uma vez que o balde de armazenamento foi chamado de “walmartsql”, mas após uma investigação mais aprofundada por pesquisadores da Kromtech, descobriu-se que o backup do banco de dados MSSQL na verdade pertencia à MBM Company Inc., uma empresa de jóias com sede em Chicago, IL, que opera principalmente sob o nome de Jóias Limogés.

O Bucket S3, chamado “walmartsql”, abriu um backup do banco de dados MSSQL, chamado “MBMWEB_backup_2018_01_13_003008_2864410.bak“, que “continha listas de endereçamento de MBM internas, detalhes do cartão de crédito criptografado, detalhes de pagamento, códigos promocionais e ordens de itens, o que dá a aparência de que é o principal banco de dados de clientes da MBM Company Inc. “, de acordo com um relatório da Kromtech Security, que descobriu o servidor aberto em 3 de fevereiro. As datas dos registros variaram de 2000 até o início de 2018.

“A negligência de deixar um Bucket de armazenamento aberto ao público após a publicação de tantos outros Buckets vulneráveis da Amazon S3 é uma simples ignorância”, disse Kromtech em um relatório detalhando suas descobertas. “Além disso, armazenar um arquivo de banco de dados desprotegido contendo dados de clientes sensíveis nela, qualquer lugar diretamente online, é surpreendente, e é completamente inpensável que qualquer empresa armazene senhas em texto simples em vez de criptografá-las“.

“Os hackers estão cada vez mais direcionados a fornecedores, parceiros e outros terceiros para acessar dados confidenciais, e os varejistas precisam entender que eles serão responsabilizados pelas deficiências de segurança de terceiros em seu ecossistema digital”

Fred Kneip, CEO da CyberGX, disse que as implicações são uma reminiscência da violação que atingiu a Target há alguns anos atrás. “Um pequeno terceiro que a maioria das pessoas nunca ouviu tem seus controles de segurança fracos explorados, permitindo que os hackers acessem os dados do cliente de um grande varejista cujo nome é arrastado para as manchetes, afetando a reputação do revendedor e a linha de fundo. Essa frase descreve a infame violação do alvo de 2013, onde os atacantes comprometeram um pequeno vendedor de HVAC, mas poderiam ser aplicados com facilidade na recente violação do Walmart causada por um parceiro de jóias “, disse Kneip. “Os hackers estão cada vez mais direcionados a fornecedores, parceiros e outros terceiros para acessar dados confidenciais, e os varejistas precisam entender que eles serão responsabilizados pelas deficiências de segurança de terceiros em seu ecossistema digital“.

Observando que “as organizações devem entender onde eles estão armazenando seus dados, se o sistema de armazenamento é apropriado para os dados que eles estão mantendo lá e se eles têm os recursos internos para garantir de forma responsável esses sistemas de dados“, disse Sam Bisbee, da Threat Stack, “O ônus também deve ser do AWS” porque, enquanto “o modelo de responsabilidade compartilhada para a segurança é preciso e justo“, está começando a “sentir-se insincero, enquanto a AWS continua a liberar ferramentas de solução de pontos, mas vazamentos continuam ocorrendo“.

A pesquisa da Threat Stack mostra que os buckets de armazenamento abertos não se limitam aos buckets S3, mas “quase três quartos das organizações têm configurações críticas AWS de algum tipo“, particularmente “grandes organizações que cresceram rapidamente ao longo do tempo, tanto organicamente como inorganicamente, e muitas vezes dependem de terceiros “.

Bisbee explicou que “pode ser muito difícil manter a visibilidade de segurança em sua infraestrutura, uma vez que o conhecimento assumido se dispersa, especialmente porque os líderes empresariais priorizam continuamente a velocidade sobre a segurança“.

Veja também: