A vez da Sky deixar vazar dados de clientes. Segundo a Tecmundo cerca de 32 milhões de registros de dados de clientes da Sky Brasil estavam supostamente acessíveis para invasores em servidores Elasticsearch em forma não criptografada e com acesso aberto.
Um dos servidores expostos da Sky possuía um arquivo de registros com 430 gigabytes onde supostamente haveriam dados de clientes com nome completo, endereço residencial, plano de assinatura, número telefônico, código postal, data de pagamento da fatura, método de pagamento, número do smart card, senhas criptografadas em Blowfish e outros detalhes que abrem margem para diferentes golpes e fraudes.
“O total de dados são de aproximadamente 32 milhões de registros”
Segundo o site Tecmundo
A denúncia foi realizada pelo pesquisador de segurança independente Fábio Castro, que observando o ocorrido com a FIESP notou a similaridade do com dados expostos também em um servidor da Elasticsearch.
Na semana de 21 de novembro o Tecmundo noticiou que a Federação das Indústrias do Estado de São Paulo (FIESP) expôs os dados de cerca de 34 milhões de pessoas, de acordo com o pesquisador de segurança Bob Diachenko.
Igualmente ao caso da Sky, 180 milhões de registros da FIESP foram encontrados em uma base de dados Elasticsearch que expôs dados como nome completo, número de RG, número de identificação CPF, gênero, data de nascimento, endereço completo, email e número telefônico.
Os dados roubados são classificados como pessoais e cobertos pela lei de privacidade de dados nacional, LGPD que embora tenha sido sancionada em 14 de agosto pelo presidente Temer, deve entrar em vigor em fevereiro de 2020 e prevê multas para empresas que descumprirem a lei com valores que podem ir de até 2% do faturamento da empresa, limitados a R$ 50 milhões por infração.
O caso Sky e FIESP somam-se ao caso da rede de hotéis Mariotti que foi hackeada por 4 anos e comprometeu dados de 500Mi de clientes , do Instagram na semana passada, da Netshoes em janeiro passado e da Empresa de inteligência Apollo que também vazou milhões de dados coletados em outubro, todos com o fato em comum de violação de privacidade de dados pessoais a níveis de milhões de registros .
Assim resta-nos a pergunta: “Ainda existe privacidade para os nossos dados pessoais ou já estamos todos ‘voando’ por aí na internet ?“.
Considerando que em breve consulta no site Have I been Pwned certamente todos nós poderemos achar algo nosso que tenha sido vazado, podemos imaginar que a resposta para esta pergunta seja “já não há privacidade de nossos dados ou ao menos podemos esperar que ela já não exista“, por isto é importante começarmos a avaliar outros meios de identificação e confirmação de nossa identidade no meio digital.
Portanto, não confie em atrelar o fator de identificação com algo da vida pessoal como RG, CPF, email ou nome de login…. na realidade invente, tente, faça algo diferente !
Por: Kleber Melo - Sócio Diretor e consultor da MindSec Segurança e Tecnologia da Informação
Veja também:
- Código-fonte da Stone vaza às véspera de lançar ações na Nasdaq
- Hackeada por 4 anos, rede Marriott compromete dados de 500Mi de clientes
- Aplicativo ‘Download your Data’ expõe senhas do Instagram na URL
- Após Austrália, Huawei é banida da Nova Zelândia
- NETSCOUT estende até a borda da rede proteção contra as ameaças vindas da Internet
- Hackers eliminam mais de 6.500 sites na Darkweb
- A Ponte Que Partiu
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- Falhas de criptografia SSD agravadas pelas configurações do BitLocker
- Botnet explora vulnerabilidade UPnP de routeadores domésticos
- Impressões digitais falsas podem imitar as reais em sistemas biométricos
Deixe sua opinião!