A vez da Sky deixar vazar dados de clientes

A vez da Sky deixar vazar dados de clientes. Segundo a Tecmundo cerca de 32 milhões de registros de dados de clientes da Sky Brasil estavam supostamente acessíveis para invasores em servidores Elasticsearch em forma não criptografada e com acesso aberto. 

Um dos servidores expostos da Sky possuía um arquivo de registros com 430 gigabytes onde supostamente haveriam dados de clientes com nome completo, endereço residencial, plano de assinatura, número telefônico, código postal, data de pagamento da fatura, método de pagamento, número do smart card, senhas criptografadas em Blowfish e outros detalhes que abrem margem para diferentes golpes e fraudes.

“O total de dados são de aproximadamente 32 milhões de registros”

Segundo o site Tecmundo

A denúncia foi realizada pelo pesquisador de segurança independente Fábio Castro, que observando o ocorrido com a FIESP  notou a similaridade do com dados expostos também em um servidor da Elasticsearch.

Na semana de 21 de novembro o Tecmundo noticiou que a Federação das Indústrias do Estado de São Paulo (FIESP) expôs os dados de cerca de 34 milhões de pessoas, de acordo com o pesquisador de segurança Bob Diachenko.

Igualmente ao caso da Sky, 180 milhões de registros da FIESP foram encontrados em uma base de dados Elasticsearch que expôs dados como nome completo, número de RG, número de identificação CPF, gênero, data de nascimento, endereço completo, email e número telefônico.

Os dados roubados são classificados como pessoais e cobertos pela lei de privacidade de dados nacional, LGPD que embora tenha sido sancionada em 14 de agosto pelo presidente Temer, deve entrar em vigor  em fevereiro de 2020 e prevê multas para empresas que descumprirem a lei com valores que podem ir de até 2% do faturamento da empresa, limitados a R$ 50 milhões por infração. 

O caso Sky e FIESP somam-se ao caso da rede de hotéis Mariotti que foi  hackeada por 4 anos e comprometeu  dados de 500Mi de clientes , do Instagram na semana passada, da Netshoes em janeiro passado e da Empresa de inteligência Apollo que também vazou milhões de dados coletados  em outubro, todos com o fato em comum de violação de privacidade de dados pessoais a níveis de milhões de registros .

Assim resta-nos a pergunta: “Ainda existe privacidade para os nossos dados pessoais ou já estamos todos ‘voando’ por aí na internet ?“. 

Considerando que em breve consulta no site Have I been Pwned certamente todos nós poderemos achar algo nosso que tenha sido vazado, podemos  imaginar que a resposta para esta pergunta seja “já não há privacidade de nossos dados ou ao menos podemos esperar que ela já não exista“, por isto é importante começarmos a avaliar outros meios de identificação e confirmação de nossa identidade no meio digital.

Portanto, não confie em atrelar o fator de identificação com algo da vida pessoal como RG, CPF, email ou nome de login…. na realidade invente, tente, faça algo diferente !

Por: Kleber Melo - Sócio Diretor e consultor da MindSec Segurança e Tecnologia da Informação

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Vaza dados e senhas de clientes da TIVIT
  2. Prosegur adquire Cipher

Deixe sua opinião!