Mais 24 Milhões de documentos financeiros vazam na Amazon S3

04/02/2019 mindsecblog Notícias 2

Mais 24 Milhões de documentos financeiros vazam na Amazon S3, representando dezenas de milhares de empréstimos e hipotecas de alguns dos maiores bancos dos EUA, foi encontrado online após uma falha de segurança do servidor na Amazon S3.

O servidor, executando um banco de dados Elasticsearch, tinha mais de uma década de dados, contendo contratos de empréstimo e hipoteca, cronogramas de pagamento e outros documentos fiscais e financeiros altamente confidenciais que revelam uma visão íntima da vida financeira de uma pessoa.

A base de dados não foi protegido com uma senha, permitindo que qualquer pessoa acesse e leia o enorme cache de documentos.

Acredita-se que o banco de dados tenha sido exposto apenas por duas semanas, mas tempo suficiente para o pesquisador de segurança independente Bob Diachenko encontrar os dados. À primeira vista, não se soube imediatamente quem era o proprietário dos dados. Depois que o site Techcrunch perguntar a vários bancos cujas informações de clientes foram encontradas no servidor, o banco de dados foi fechado em 15 de janeiro.

Com a ajuda do TechCrunch, o vazamento foi rastreado até a Ascension, uma empresa de dados e análises para o setor financeiro, com sede em Fort Worth, Texas. A empresa fornece análise de dados e avaliações de portfólio. Entre seus serviços, a Ascension converte documentos em papel e anotações manuscritas em arquivos legíveis por computador – conhecidos como OCR.

É esse banco de documentos convertidos que foi exposto, disse Diachenko em seu próprio artigo.

Um dia depois, Diachenko encontrou um segundo servidor de armazenamento contendo os documentos originais do primeiro banco de dados exposto na Amazon S3. Segundo Diachenko “Qualquer pessoa que acessasse um endereço da web teria facilidade poderia ter acessado o servidor de armazenamento para ver e baixar os arquivos armazenados nele.“

O bucket continha 21 arquivos contendo 23.000 páginas de documentos PDF costurados juntos – ou cerca de 1,3 gigabytes de tamanho. Diachenko disse que partes dos dados no banco de dados exposto do Elasticsearch na quarta-feira coincidiram com os dados encontrados no bucket do Amazon S3, confirmando que alguns ou todos os dados são os mesmos do que foi descoberto anteriormente.

Como no primeiro relatório, o servidor continha documentos de bancos e instituições financeiras nos EUA, incluindo empréstimos e contratos de hipoteca. Também foram encontrados documentos do Departamento de Habitação e Desenvolvimento Urbano dos EUA, bem como formulários de impostos W-2, cronogramas de pagamento de empréstimos e outras informações financeiras confidenciais.

A partir da análise, ficou claro que os documentos pertencem a empréstimos e hipotecas e outras correspondências de várias das principais instituições financeiras e de crédito datadas de 2008, se não mais, incluindo o CitiFinancial, um extinto setor financeiro do Citigroup. , arquivos do HSBC Life Insurance, Wells Fargo, CapitalOne e alguns departamentos federais dos EUA, incluindo o Departamento de Habitação e Desenvolvimento Urbano.

Muitos dos arquivos também continham nomes, endereços, números de telefone, números da previdência social e muito mais.

Quando tentou-se acessar o OpticsML novamente, seu site havia sido colocado offline e o número de telefone listado foi desconectado. Depois de vasculhar uma versão em cache antiga do site, encontramos um endereço de e-mail.

O TechCrunch enviou um email ao diretor-presidente Sean Lanning, e o bucket ficou protegido uma hora depois.

Lanning recebeu o email da Techcrunch, mas não comentou. Em vez disso, o diretor de tecnologia da OpticsML, John Brozena, confirmou a violação em um e-mail separado, mas se recusou a responder várias perguntas sobre os dados expostos – incluindo quanto tempo o bucket estava aberto e por que foi definido como público.

“Estamos trabalhando com as autoridades competentes e uma equipe forense para analisar a extensão da situação em relação ao servidor Elasticsearch exposto”, disse Brozena. “Como parte desta investigação, 21 documentos usados para testes foram identificados pelo vazamento do Elasticsearch anteriormente discutido. Esses documentos foram colocados offline imediatamente ”.

Quando questionado sobre como informar os clientes e os órgãos reguladores, conforme as leis estaduais de notificação de violação de dados. Ele acrescentou que a OpticsML está “trabalhando para notificar todas as partes afetadas“.

Mas Diachenko disse que não se sabe quantas vezes o bucket pode ter sido acessado antes de ser descoberto. “Eu diria que depois de uma publicidade como essa, a primeira coisa que você faria seria verificar se o armazenamento em nuvem está inativo ou, pelo menos, protegido por senha“, disse ele.