.
Exclusivo Uma empresa de segurança física sediada no Reino Unido baixou a guarda, expondo quase 1,3 milhão de documentos por meio de um banco de dados público, de acordo com um pesquisador de segurança da informação.
Um pesquisador diz que se deparou com uma coleção de dados pertencentes à Amberstone Security, que incluía milhares de fotos de seus guardas, bem como fotos de indivíduos suspeitos de crimes, incluindo furtos em lojas.
No total, 1.274.086 documentos foram expostos à Internet através de um banco de dados mal configurado por um período de tempo desconhecido, disseram-nos. Não está claro se os dados já foram acessados por alguém com intenções maliciosas.
A Amberstone Security oferece produtos e serviços de vigilância, controle de acesso e proteção de mercadorias, bem como guardas de plantão 24 horas por dia para os clientes.
Entre os dados expostos, que datam de 2017, estava uma pasta contendo 99.151 fotos de guardas fazendo check-in para seus turnos, seja com foto deles mesmos, de carteira de identidade ou de ambos. As fotos tiradas dos cartões de identificação exibiam informações básicas como nome, foto da cabeça e data de validade do cartão. Em casos raros, também mostrava a assinatura.
Os cartões de identificação também foram emitidos pela Security Industry Authority (SIA), o regulador do Reino Unido para a indústria de segurança privada. Os cartões não possuem nenhuma tecnologia biométrica incorporada e são cartões de identificação básicos de plástico que, hipoteticamente, poderiam ser facilmente enganados e abusados.
Falando com Strong The One, o pesquisador Jeremiah Fowler, afirmou que a SIA lhe disse que há planos para introduzir biometria nos cartões em um futuro próximo. Porém, não há uma data específica para isso.
“A exposição de documentos de identificação da SIA pode representar uma séria ameaça potencial à segurança pública, à privacidade pessoal e à integridade das operações de segurança se forem utilizados indevidamente por indivíduos não autorizados”, disse Fowler.
“Um exemplo hipotético de um cenário de risco seria se os criminosos usassem as informações expostas, como nomes, fotografias e números de licença dos guardas, para se passarem por pessoal de segurança ou obterem acesso não autorizado a uma instalação segura para fins criminosos. Isto poderia potencialmente levar a um ataque físico. violação de segurança, roubo, vandalismo ou – na pior das hipóteses – atos de terrorismo”.
A exposição de uma base de dados, em qualquer caso, apresentaria riscos óbvios de privacidade, e estes são amplificados se os dados expostos vincularem um indivíduo a um crime suspeito, o que foi o caso neste incidente.
Fowler diz que os documentos encontrados no banco de dados exposto mostravam imagens de supostos infratores, aparentemente pegos em flagrante via CCTV ou fotografados posteriormente pelo pessoal de segurança. Muitas imagens retratavam claramente os suspeitos e eram legendadas com informações como nome, data de nascimento e natureza do suposto crime.
Em alguns casos, foram encontradas descrições detalhadas de como um suspeito opera, disse Fowler. Sabia-se que um homem e seus associados frequentavam os shopping centers Lakeside e Stratford, no sudeste da Inglaterra, por exemplo, e aparentemente tinham uma predileção especial por ternos masculinos de alto valor.
A descrição continha detalhes sobre como os supostos infratores escaparam impunes dos furtos, mencionando que posteriormente voltam à loja e têm como alvo funcionários jovens para concluir um processo confuso para obter o reembolso em dinheiro dos bens roubados.
Da mesma forma, planilhas também foram preenchidas com informações sobre os crimes, como foram cometidos e se houve uso de violência ou não.
Resposta rapida
Um dia depois de ser alertada sobre o banco de dados exposto, a Amberstone Security revogou o acesso público ao banco de dados e informou a Fowler que o erro pode ter sido causado por terceiros.
“Obrigado por nos chamar a atenção para isso, isso é profundamente preocupante. Estou investigando isso com o fornecedor que desenvolveu e hospeda a plataforma”, disse um representante da empresa ao pesquisador. “Fique tranquilo, pois levamos a segurança dos dados a sério e isso será investigado minuciosamente”.
Strong The One contatou a Amberstone para obter uma resposta e um porta-voz da controladora Argenbright Security Europe disse: “A Amberstone foi informada de um problema de configuração do servidor e imediatamente conteve quaisquer riscos. Agimos de acordo e em linha com nossas obrigações regulatórias.”
A identidade do contratante terceirizado não foi especificada pela Amberstone Security. ®
.
