3,2 milhões de registros do serviço de ajuda de LA exposto na AWS

Vazamento ocorreu devido à má configuração do AWS

25/05/2018 mindsecblog LGPD & PRIVACY, Notícias 1

3,2 milhões de registros do serviço de ajuda de LA exposto na AWS. O serviço 211 do condado de Los Angeles deixou cerca de 3,2 milhões de registros de chamadas em um servidor da AWS exposto que incluía uma ampla variedade de informações sobre usuários, juntamente com as razões, às vezes muito pessoais, que chamavam à procura de ajuda.

Os dados no servidor, descobertos por Upguard, referem-se ao site 211LA e o conteúdo dos arquivos disponíveis para download inclui credenciais de acesso para aqueles que operam o sistema 211, endereços de e-mail para contatos e recursos registrados do Condado de LA 211 e notas de chamada mais preocupantes e detalhadas. Estas notas descrevem o motivo das chamadas, incluindo informações de identificação pessoal para pessoas que relatam o problema, pessoas necessitadas e, quando aplicável, os abusos sofridos pelos usuários. Incluídos em mais de 3 milhões de linhas de registros de chamadas estão 200.000 linhas de notas detalhadas, incluindo descrições gráficas de abuso de idosos, abuso infantil e relatos de pessoas com desejo de suicídio e violência doméstica, levantando preocupações sérias de privacidade em larga escala. Em muitos desses casos, nomes completos, números de telefone, endereços e até 33.000 números completos da Previdência Social são revelados entre os dados.

Tudo estava armazenado em um servidor AWS S3 configurado incorretamente para ser acessível publicamente. “Estas notas descrevem o motivo das chamadas, incluindo informações de identificação pessoal para pessoas que relatam o problema, pessoas necessitadas e, quando aplicável, seus agressores reportados”, observou a Upguard. O que tornar a informação ainda mais útil foi o fato de que ela estava tão bem organizada com categorias separadas para todos os tipos de problemas e situações sendo rotuladas e divididas. “Considerando a quantidade de foco que as configurações incorretas do S3 obtiveram nos últimos meses, essa exposição de informações confidenciais é simplesmente injustificável. No final das contas, as organizações são responsáveis por garantir que implementem uma conformidade contínua e proteção ativa na nuvem, a fim de proteger as informações pessoais e evitar que erros de configuração como esse caiam nas rachaduras”, disse Zohar Alon, co-fundador e CEO, Dome9, para o site SC Media.

O UpGuard descobriu o balde AWS S3 em 14 de março e, assim que os pesquisadores perceberam a natureza sensível das informações disponíveis, entraram em contato com o condado de Los Angeles 211. No entanto, foram necessários até 24 de abril para encontrar a pessoa adequada e prosseguir os esforços de mitigação. As informações que foram comprometidas não se limitaram a pessoas que procuravam ajuda, mas várias centenas de usuários de LA County 211 também estavam envolvidos.

Além da exposição das informações relatadas, a UpGuard observou que as senhas hash para 384 foram expostas, com 153 delas usando ativamente o sistema. “Quase todos os endereços de e-mail estavam no domínio @ 211LA.org. As senhas, enquanto hash, foram feitas usando o algoritmo MD5 – um algoritmo considerado fraco em relação aos padrões modernos de poder e segurança da computação, e um em que muitos hashes já foram quebrados, comprometendo a criptografia completamente ”, escreveu a UpGuard. Considerando o re-uso de senhas em outros sites, a quebra das senhas utilizadas podem comprometer também outros sites utilizados pos estes usuários.

Não é o primeiro comprometimento de dados na AWS S3 que notíciamos aqui no Blog Minuto da Segurança, em março noticiamos o vazamento de Informações de 1,3Milhões de clientes da Walmart através de um parceiros de negócios, em fevereiro foi a vez do Paypal que através da AWS mal configurado expôs dados e mídias sociais de influentes, em julho do ano passado Dados de 14milhões de clientes da Verizon foram expostos na Amazon AWS . Em nossas pesquisa e notícias publicadas aqui no blog, observamos que embora a adoção da computação em nuvem continue a aumentar, as preocupações de segurança afligem a 91% dos profissionais de segurança cibernética, segundo a 2018 Cloud Security Report da Crowd Research Partners.

Empresas de todos os portes falham na proteção dos dados em Cloud. Além do problemas enfrentados pelas equipes de TI para manterem-se atualizados, treinados e implementarem um boa proteção nos ambientes de Cloud utilizados, área de negócio criam o seu próprio repositório de informações nas área de Cloud e fatalmente ignoram importantes conceitos e procedimentos de segurança.

A Amazon Web Services adota medidas incomuns para impedir que os dados saiam de seus data centers, estimados para abrigar entre 50.000 a 80.000 servidores. Discos rígidos físicos são triturados, perfurados, totalmente destruídos. O Google segue uma prática semelhante. Porém embora essas táticas possam parecer extremas para muitas empresas, o erro humano cobra seu preço, levando a grande vazamentos de dados na nuvem, principalmente com a segurança do AWS S3. Em vez de desenvolvedores e equipes bem treinadas de TI usarem e comandarem o armazenamento em nuvem na Internet da Amazon, equipes de TI não treinadas, ou com treinamentos insuficientes, e a equipe de negócios estão expondo dados na nuvem sem a proteção adequada.

Ao que tudo indica as empresas devem investir mais em treinamento e preparo para que não exponham dados importantes da empresa e de seus clientes.

fonte SC Media & Upguard

Participe do Webinar: CYBER, CLOUD & CONTINUITY NO MERCADO FINANCEIRO

Neste Webinar vamos discutir sobre a resolução 4.658 do BACEN que dispõe sobre a Política de Segurança Cibernética e requisitos para a Contratação de Serviços de Processamento e Armazenamento em Cloud, e apresentar uma visão prática de como podemos atingir os objetivos estabelecidos nas datas alvo divulgadas.

Não perca este Webinar, venha participar conosco da construção desta estratégia.