Os investigadores da Hold Security, uma consultoria de segurança com sede em Wisconsin, na terça-feira à tarde descobriram um portal de serviço ao cliente interno não seguro para as operações argentinas da empresa.
Os números de identificação nacional apontam que pelo menos 14.000 argentinos foram expostos, mas a violação pode potencialmente afetar dezenas de milhares de pessoas mais.
O site continha milhares de registros de conflitos de crédito, faxes e números de identidade nacionais para argentinos que apresentaram queixas. Ele também armazenou os nomes de usuário e as senhas em texto simples para cerca de 100 dos representantes do serviço ao cliente da empresa.
As descobertas foram relatadas pela primeira vez pelo blogueiro de segurança cibernética Brian Krebs, que notificou a Equifax. O site foi encerrado.
As descobertas exercerão mais pressão sobre a Equifax, que foi criticada por sua resposta aleatória e lenta a uma violação que expôs os detalhes pessoais de 143 milhões de consumidores dos EUA, bem como um número ainda não especificado de residentes britânicos e canadenses. A Equifax disse que uma vulnerabilidade em um aplicativo da Web expôs os dados aos hackers entre meados de maio e 29 de julho.
Credenciais padrão
Alex Holden, fundador e CTO da Hold Security, diz que ele e sua equipe começaram a cavar ao redor, seguindo a divulgação da quebra de quinta-feira da Equifax, olhando para outros domínios administrados pela empresa, incluindo um para a Argentina.
Eles começaram a explorar o serviço de resolução de disputas da Equifax, onde os consumidores podem contestar a precisão das informações que a empresa coletou involuntariamente sobre eles.
A companhia de Holden tem assessores da Argentina que lhe disseram que a indústria de crédito está nascente lá. Mesmo assim, Equifax parece ter acumulado uma pequena informação sobre os cidadãos do país.
A equipe de Holden encontrou um pequeno problema com o próprio serviço de resolução de reivindicações. Só exige que alguém insira o seu gênero e o número de seu documento de identidade nacional, referido como DNI, para ver os casos pendentes.
Ao encurtar o URL do site, no entanto, a equipe de Holden também encontrou um portal chamado Veraz – que significa “verdade” em espanhol – que é usado pelos representantes do serviço ao cliente para gerenciar disputas. As credenciais de nome de usuário e senha para o portal voltado para a web foram, respectivamente, “admin” e “admin”, afirma Holden.
“Honestamente tentei [as credenciais] uma vez“, diz Holden. “O que vimos foi realmente perturbador“.
Sua equipe examinou rapidamente as informações armazenadas no portal. Os casos de disputa voltam para 2014, diz Holden. Eles encontraram 100.000 faxes gravados pelo sistema e as indicações de que o sistema Equifax também havia processado milhares de chamadas telefônicas.
Holden diz que sua equipe não tentou ver os faxes. “Nós decidimos não ir muito fundo para evitar invasões“, diz ele. “Sabíamos que estávamos um pouco em território perigoso, mas a ideia é que eles saibam que há exposição“.
Números de identificação nacional
O banco de dados Equifax descoberto pela equipe de Holden continha 715 páginas de registros com 20 registros por página, cada um dos quais continha o número DNI de alguém, ele diz. Isso significa que mais de 14 mil pessoas são afetadas.
A violação é “uma boa forma de minar a economia de crédito em crescimento de um país, tendo este [exposto]“, diz Holden.
A exposição também significa que se um invasor coletou a informação do portal, seria trivial a chamar Equifax e fingir ser outra pessoa. “Eu posso ligar e fazer com que eles façam o que quiser“, diz Holden.
Credenciais: texto simples, fraco
Outros aspectos do design do portal também diziam respeito aos pesquisadores. Por exemplo, o portal revelou uma quantidade surpreendente de detalhes sobre cerca de uma centena de resolução de disputas de funcionários, atuais e passadas. A página incluiu seu endereço de e-mail e identificação do empregado, diz Holden.
As credenciais de autenticação para esses funcionários também foram armazenadas de forma não segura. Verificando o registro de um funcionário, por exemplo, mostrou seu nome de usuário em texto simples. O nome de usuário pareceu ser uma variação do nome real de um empregado.
As senhas para suas contas foram obscurecidas por asteriscos. Mas Holden diz que visualizar a fonte HTML da página revelou a senha de texto sem formatação, que era o mesmo que o nome de usuário do funcionário.
“Dentro do código [HTML], a senha está aí“, diz Holden.
Ao ser consultada a Equifax confirmou que havia desativado o portal após as descobertas da Hold Security e que estava investigando.
fonte Bank Info Security by Jeremy Kirk por MindSec 14/09/2017
Deixe sua opinião!