Em 3 de abril, o Website Planet estava executando um projeto de mapeamento da web quando descobriu buckets de dados inseguros do AWS S3 pertencentes a uma agência estadual de saúde na Nigéria. Esses baldes continham cerca de 75.000 entradas de cerca de 37.000 pessoas – cerca de 45 GB no total, incluindo documentos de identificação e fotos de pessoas registradas na agência. Os buckets datavam de janeiro de 2021 e estavam ativos e sendo atualizados no momento da descoberta, de acordo com o Website Planet.
A agência, conhecida como Plateau State Contributory Healthcare Management Agency (PLASCHEMA), foi lançado em setembro de 2020 pelo governador do estado, Simon Bako Lalong, e foi voltado para fornecer assistência médica barata e acessível aos residentes do estado de Plateau da Nigéria.
Em 5 de abril, o Website Planet entrou em contato com as autoridades nigerianas, informando-as sobre os baldes de dados expostos. Mas o Website Planet diz que os buckets de dados permaneceram ativos e inseguros até o final de julho. Não se sabe se os agentes maliciosos encontraram os dados antes que eles fossem protegidos, diz um porta-voz do Website Planet, mas “quanto mais tempo ficou aberto, maior a probabilidade de ser capturado por partes mal-intencionadas”. Informações pessoais como as encontradas nos baldes podem ser exploradas para roubo de identidade, que pode ser usada para abrir redes sociais e contas bancárias ou de crédito virtuais.
Em 23 de julho, dias após o baldes inseguros foram bloqueados, Fabong Yildam, diretor geral da PLASCHEMA, negou qualquer violação de dados ou exposição em uma conferência de imprensa. Nigéria, onde os regulamentos são ineficazes, as más práticas são desenfreadas e as divulgações públicas de violações de segurança são muitas vezes lentas e insuficientes.
“Muitas organizações em países desenvolvidos se comunicam quando têm casos de ataques cibernéticos , que incentiva a resiliência cibernética e a ampla resposta a incidentes”, diz Confidence Staveley, analista de segurança nigeriano e diretor executivo da Cybersafe Foundation, um grupo de consultoria e defesa de segurança. negar absolutamente a ocorrência de ciberataques e incidentes de violação de dados, mesmo na presença de provas inegáveis. Isso, ou eles minimizam drasticamente o incidente.”
Em agosto de 2020, dois grandes bancos nigerianos sofreram violações de dados, expondo os detalhes financeiros de seus clientes. Nenhum dos bancos respondeu até dias depois, e então seus comunicados à imprensa foram vagos, nem negando nem admitindo a ocorrência de qualquer violação de dados.
No início deste ano, em julho, David Hundeyin, um jornalista nigeriano independente, também relatou um possível comprometimento de e-mails pertencentes ao governo do estado de Lagos e a venda desses e-mails no mercado negro. O governo do estado de Lagos e as agências de cibersegurança da Nigéria permaneceram calados sobre as alegações de Hundeyin, não respondendo nem negando a suposta violação.
Ao não comunicar, essas agências falham em equipar seus clientes e outras partes interessadas com as informações de que precisam para se proteger e fornecer conselhos acionáveis a qualquer pessoa exposta a uma possível violação. A falta de comunicação, diz Staveley, juntamente com muitas práticas ruins de segurança cibernética, prejudica a segurança cibernética e a proteção de dados na Nigéria e cria uma grave falta de confiança e capacidade.
