.
Os grupos Neighborhood Watch (NW) em todo o Reino Unido agora podem ficar tranquilos sabendo que os desenvolvedores por trás de uma plataforma de comunicações corrigiram um bug de aplicativo da web que vazou seus dados em massa.
A VISAV, sediada em Nottingham, é a empresa por trás do Neighborhood Alert, uma plataforma que, entre outras coisas, afirma oferecer um sistema de mensagens seguro entre membros registados da comunidade NW e administradores autorizados.
O Neighborhood Alert está acessível através de aplicações web e móveis aprovadas pelas autoridades locais nacionais e regionais em todo o Reino Unido. Possui mais de meio milhão de usuários, segundo seu site.
No final de março, um usuário relatou um problema de segurança para O registro isso permitiu que qualquer pessoa se registrasse como coordenador de NW na plataforma e criasse o que é conhecido como esquema. Pode ser uma sub-região, como um quarteirão de 15 ruas dentro de uma área mais ampla do noroeste, como uma cidade. Depois de selecionar um esquema – feito desenhando uma área dentro da integração do mapa digital da plataforma tão grande quanto desejassem – aqueles que criaram o esquema puderam ver todos os membros do NW naquela área.
O problema era que esses coordenadores não precisavam passar por um processo de aprovação ou verificação. Os dados ficaram acessíveis imediatamente após a inscrição com credenciais descartáveis.
Uma investigação por O registro revelou que qualquer pessoa poderia se inscrever usando um nome, endereço de e-mail e código postal falsos para obter acesso a uma série de dados pessoais de cidadãos do Reino Unido em poucos minutos.
Depois de traçar um esquema, os usuários não verificados poderiam selecionar uma opção para visualizar os detalhes de cada membro registrado do NW naquela área, que incluía nomes completos, endereços residenciais e de e-mail, números de telefone (quando fornecidos) e pequenas imagens de perfil nos raros casos de usuários. carregou um.
Seletor de captação geográfica baseado em mapa do Neighborhood Alert
O único limite para o tamanho do mapa que um potencial coletor de dados poderia traçar era o da região na qual se registrava. O Neighborhood Alert possui plataformas personalizadas para cada região do Reino Unido que adotou a plataforma, como Manchester, Cambridgeshire, etc.
Aqueles que se inscreveram para a implantação da plataforma na Grande Manchester poderiam criar um esquema que capturasse dados de milhares de indivíduos de uma só vez. O mesmo aconteceu em outras regiões, segundo testes.
Assim como as contas usadas para criá-los, esses esquemas não precisavam ser aprovados por nenhum usuário ou administrador existente na região antes que os dados neles residentes pudessem ser acessados.
Em alguns casos, as pesquisas revelaram membros que se registaram utilizando endereços de correio eletrónico oficiais, incluindo agentes da polícia e deputados, permitindo potencialmente que os criminosos localizassem as suas casas. Outros indivíduos de destaque, ou aqueles com uma expectativa razoavelmente elevada de privacidade, também foram descobertos.
Dados de membros do Neighborhood Alert exibidos a um usuário não avaliado após a criação de um esquema
Mike Douglas, diretor de produto e também responsável pela proteção de dados da VISAV, divulgou o problema aos usuários no dia 15 de abril em e-mail visto por O registrochamando a falha de “anomalia de segurança”.
Num comunicado enviado diretamente a nós, ele disse: “Desde que tomamos conhecimento de que nosso sistema havia sido usado na tentativa de acessar os dados dos membros, temos sido abertos e transparentes para resolver esse problema.
“Lamentamos sinceramente qualquer sofrimento causado a todos os nossos membros registrados devido a este risco incomum de vazamento. Como uma empresa britânica confiável, a integridade e a segurança pública são de extrema importância para nós. Ameaças à segurança cibernética são agora uma parte diária de nossas vidas e na VISAV e levamos muito a sério nossas obrigações de proteção de dados.
“A anomalia foi corrigida imediatamente e notificamos voluntariamente todos os membros para informá-los e fornecer orientação, mesmo a grande maioria dos membros que não foram potencialmente afetados por ela. Também nos reportamos ao regulador para apoiar a nossa própria investigação intensiva e ajudar a prevenir riscos futuros.”
O órgão de fiscalização da proteção de dados do Reino Unido, o Gabinete do Comissário de Informação, confirmou que a VISAV se reportou e que a informação fornecida está agora a ser avaliada. ®
.
