340 Milhões de dados vazados em empresa de Marketing nos EUA

340 Milhões de dados vazados em empresa de Marketing nos EUA. Você provavelmente nunca ouviu falar da firma de marketing e agregação de dados Exactis, mas ela pode muito bem ter ouvido falar de você. E agora também há uma boa chance de que, qualquer que seja a informação que a empresa tenha sobre você, tenha vazado na internet pública recentemente, disponível para qualquer hacker que simplesmente soubesse onde procurar.

No início deste mês, o pesquisador de segurança Vinny Troia descobriu que a Exactis, uma corretora de dados baseada em Palm Coast, na Flórida, havia exposto um banco de dados em um servidor acessível publicamente com que continha cerca de 340 Milhões de dados vazados, envolvendo cerca de 230 milhões de indivíduos americanos. A base inclui cerca de 2 terabytes de dados e ao que parece inclui informações pessoais de centenas de milhões de adultos americanos, além de milhões de empresas. Embora o número exato de indivíduos incluídos nos dados não seja claro – e o vazamento não contenha informações de cartão de crédito ou números da Previdência Social -, ele entra em detalhes minuciosos para cada indivíduo listado, incluindo números de telefone, endereços residenciais e endereços de e-mail e outras características altamente pessoais para cada nome. As categorias variam de interesses e hábitos para o número, idade e sexo dos filhos da pessoa.

“Parece que este é um banco de dados com praticamente todos os cidadãos norte-americanos“, diz Troia, que é o fundador de sua própria empresa de segurança sediada em Nova York, a Night Lion Security. Troia observa que quase todas as pessoas que ele pesquisou no banco de dados, ele encontrou. E quando o site WIRED pediu para ele encontrar registros para uma lista de 10 pessoas específicas no banco de dados, ele rapidamente encontrou seis delas. “Não sei de onde vêm os dados, mas é uma das coleções mais abrangentes que já vi“, diz ele.

Embora esteja longe de ser claro se algum hacker criminoso ou malicioso acessou o banco de dados, Troia diz que teria sido fácil encontrá-lo. O próprio Troia descobriu o banco de dados enquanto usava a ferramenta de busca Shodan, que permite que os pesquisadores façam a varredura de todos os tipos de dispositivos conectados à internet. Ele diz que estava curioso sobre a segurança do ElasticSearch, um tipo popular de banco de dados projetado para ser facilmente consultado pela Internet usando apenas a linha de comando. Então, ele simplesmente usou o Shodan para procurar todos os bancos de dados do ElasticSearch visíveis em servidores publicamente acessíveis com endereços IP americanos. Isso retornou cerca de 7.000 resultados. Enquanto Troia procurava por eles, ele rapidamente encontrou o banco de dados Exactis, desprotegido por qualquer firewall. “Eu não sou a primeira pessoa a pensar em remover os servidores do ElasticSearch“, diz ele. “Eu ficaria surpreso se alguém já não tivesse isso.”

Troia entrou em contato com a Exactis e o FBI sobre sua descoberta e ele diz que a empresa protegeu os dados para que eles não sejam mais acessíveis. A Exactis não respondeu comentou sobre o vazamento de dados.

No Brasil

Aqui no Brasil temos diversas empresas de marketing e marketing digital que coletam e manuseiam dados de cidadãos brasileiros, e como não há um “enforcement” de se reportar as ocorrências de violação de dados, é difícil afirmar qualquer situação que exponha dados nacionais. O vazamento da Exactis, a princípio, não possui informações de outros países. Nunca é demais estarmos atentos, aqui no Blog Minuto da Segurança já noticiamos diversos vazamentos que direta ou indiretamente já afetaram brasileiros. O caso do Facebook, por exemplo, certamente não foram somente dados americanos que as empresas coletaram, pois existem diversos rastreadores de terceiros e APIs embarcadas que coletaram nossos dados por uma década ou mais. A Vivo está sendo investigada por uso ilegal de dados de 73 milhões de clientes, o que certamente inclui eu e você leitor. A Netshoes no Brasil foi requerida pelo Ministério Público a notificar 2 milhões de clientes devido a vazamento de dados pessoais. O site Buscapé também não ficou imune e teve dados de 10 milhões de clientes vazados.

Legislações como o Marco Civil, já em vigor desde 2016, e a nova Lei de Privacidade de Dados, em tramitação no Senado, vem trazer certa regulamentação sobre os dados de brasileiros, mas ainda restará saber sobre a sua fiscalização efetiva (até o momento não tenho conhecimento de nenhuma verificação ou notificação decorrente do Marco Civil e certamente a maioria das empresas nem mesmo sabem do que são obrigadas por lei a cumprir) e necessidade de reportar ao governo possíveis vazamentos de dados. De outra parte, o Bacen lançou em 26 de abril regulamentação 4658, específica para o setor financeiro obrigado que todas as instituições financeiras nacionais tenha política cibernética e reportem os incidentes de segurança ocorridos.

Profundidade do vazamento da Exactis

Além da amplitude de 340 Milhões de dados vazados do Exactis, pode ser ainda mais notável por sua profundidade: cada registro contém entradas que vão muito além das informações de contato e dos registros públicos para incluir mais de 400 variáveis em uma ampla gama de características específicas: se a pessoa fuma, sua religião, se eles têm cães ou gatos, e interesses variados como mergulho e vestuário de tamanho extra. O site WIRED analisou independentemente uma amostra dos dados compartilhados pela Troia e confirmou sua autenticidade, embora em alguns casos as informações estejam desatualizadas ou imprecisas.

Embora a falta de informações financeiras ou números da Previdência Social signifique que o banco de dados não é uma ferramenta simples para roubo de identidade, a profundidade das informações pessoais poderia ajudar os golpistas com outras formas de engenharia social, diz Marc Rotenberg, diretor executivo da organização sem fins lucrativos. Centro de Informações. “A probabilidade de fraude financeira não é tão grande, mas a possibilidade de representação ou perfilamento certamente está presente“, diz Rotenberg. Ele observa que, embora alguns dados estejam disponíveis em registros públicos, boa parte deles parece ser o tipo de informação não pública que agregadores de dados agregam de fontes como assinaturas de revistas, dados de transações de cartão de crédito vendidos por bancos e relatórios de crédito. “Muitas dessas informações são coletadas rotineiramente nos consumidores americanos“, acrescenta Rotenberg.

Sem a confirmação da Exactis, o número exato de pessoas afetadas pelo vazamento de dados continua difícil de contar. Troia encontrou duas versões do banco de dados da Exactis, uma das quais parece ter sido recentemente adicionada durante o período em que ele estava observando seu servidor. Ambos continham cerca de 340 milhões de registros, divididos em cerca de 230 milhões de registros em consumidores e 110 milhões em contatos comerciais. Em seu site, a Exactis se orgulha de possuir dados sobre 218 milhões de indivíduos, incluindo 110 milhões de residências nos EUA, além de 3,5 bilhões de “registros de consumidores, empresas e digitais“.

“Os dados são o combustível que alimenta a Exactis“, diz o site. “Camada de centenas de seleções, incluindo informações demográficas, geográficas, estilo de vida, interesses e dados comportamentais para segmentar públicos altamente específicos com precisão semelhante à de um laser.”

Banco de dados: O dilema !

Vazamentos maciços de bancos de dados de usuários que são acidentalmente deixados acessíveis na Internet pública quase atingiram o status epidêmico, afetando tudo, desde informações de saúde até caches de senhas armazenados por empresas de software. Um pesquisador particularmente prolífico, Chris Vickery, da firma de segurança UpGuard, descobriu esses vazamentos recorrentes de banco de dados que vão de 93 milhões de registros de eleitores Mexicanos até para uma lista de 2,2 milhões de pessoas de alto risco suspeitas de crime ou terrorismo, conhecidas como Banco de dados do World Check Risk Screening.

Se o caso Exactis incluir realmente 340 Milhões de dados vazados, isso o tornaria um dos maiores em anos, maior até que a Equifax, de 2017, de 145,5 milhões de dados, embora menor do que a do Yahoo que afetou 3 bilhões de contas, revelada em outubro passado. No entanto, vale ressaltar que, no caso do vazamento do Exactis, diferentemente das violações de dados anteriores, os dados não foram necessariamente roubados por hackers mal-intencionados, apenas publicamente expostos na Internet. Mas, como a violação da Equifax, a grande maioria das pessoas incluídas no vazamento do Exactis provavelmente não tem idéia de que eles estão no banco de dados.

Marc Rotenberg, da EPIC, argumenta que o momento da violação, logo após a implementação do GDPR – Europe’s General Data Protection Regulation, destaca a persistente falta de regulamentação em torno da privacidade e da coleta de dados nos EUA. Uma lei semelhante à GDPR nos EUA, observa ele, pode não ter impedido a Exactis de coletar os dados que vazou mais tarde, mas pode ter exigido que a empresa pelo menos divulgasse aos indivíduos que tipo de dados eles coletam sobre os cidadãos e permitia que eles limitassem como esses dados são armazenados ou usados.

“Se você tem um perfil em alguém, essa pessoa deve ser capaz de ver seu perfil e limitar seu uso“, diz Rotenberg. “Uma coisa é se inscrever em uma revista e outra coisa é uma única empresa ter um perfil tão detalhado de sua vida inteira.”