.
Uma empresa de segurança privada com sede em Londres supostamente deixou mais de 120.000 arquivos disponíveis online através de um servidor inseguro, disse um infoseccer O Registro.
O pesquisador de segurança independente afirmou ter encontrado 124.035 arquivos expostos em outubro, totalizando 46,48 GB de tamanho e contendo detalhes como PII, dados de folha de pagamento, formulários de candidatura a empregos, documentos validados TrustID, cartões da Security Industry Authority (SIA) e muito mais.
O pesquisador, cujo endereço solicitado é JayeLTee, afirmou que também encontrou faturas que datam de 2005 e pedidos de empregos de guarda, completos com dados pessoais e números de seguro nacional dos candidatos, fotos na cabeça e detalhes de suas atribuições. Um exemplo que viram foi um relatório de integração de funcionários.
Segundo o site da Assist Security, a empresa já prestou serviços para grandes hospitais da capital, operadoras ferroviárias nacionais e marcas de moda de alto padrão.
“É difícil obter o escopo completo do que foi exatamente exposto”, disse JayeLTee. “O servidor continha centenas de diretórios, muitos deles relacionados a indivíduos específicos.
“Isso incluía dados de pessoas que iniciaram o processo de inscrição e desistiram ou foram negados, de modo que algumas pessoas tiveram mais dados expostos do que outras, dependendo de onde o processo foi interrompido. As pessoas que foram aprovadas teriam mais exposição, o que poderia incluir coisas como dados de folha de pagamento .”
Falando com O RegistroJayeLTee afirmou que nenhum dos arquivos de verificação relacionados aos guardas na folha de pagamento da empresa foi criptografado, e eles disseram que os dados também pareciam ter sido armazenados depois que os indivíduos renunciaram ou tiveram seus pedidos rejeitados.
JayeLTee disse que todos os dados eram relacionados a um backup gerado por volta de agosto de 2023. Eles descobriram o servidor exposto em 23 de outubro de 2024 e disseram que o Assist fechou o acesso seis dias depois, após o pesquisador denunciar.
Não há evidências que sugiram que o servidor tenha ficado desprotegido por mais tempo do que esse período, embora o Assist não tenha provado o contrário por meio de logs, a pedido do pesquisador.
JayeLTee afirmou: “As informações neste servidor eram bastante confidenciais e de altíssimo risco nas mãos de pessoas erradas, e o fato de a empresa nunca ter me solicitado nenhum IP que usei para acessar os dados, ou o que sequer acessei, combinou com eles me dizendo que essa era apenas a estrutura do arquivo me fez duvidar que eles tivessem verificado algum registro.”
O Registro contatou a Assist Security para obter uma resposta ao relatório de JayeLTee.
Dizia: “Ao receber informações sobre os arquivos supostamente expostos, foram tomadas medidas corretivas imediatas. Somos gratos ao hacker ético por sua diligência em trazer este assunto à nossa atenção. No momento, nossa avaliação inicial determinou que nossas medidas corretivas foram suficiente para mitigar qualquer risco.”
Acrescentou:
Acrescentou: “Continuamos comprometidos em manter a confiança de nossa equipe, clientes e partes interessadas e tomaremos todas as medidas apropriadas com base no resultado desta investigação em andamento”.
O Registro confirmou com o Information Commissioner’s Office (ICO) que o órgão de fiscalização da proteção de dados não recebeu um relatório da Assist.
Embora os dados desprotegidos da Assist atendessem aos requisitos da OIC definição de uma violação de dados pessoais, o órgão de fiscalização afirma que nem toda violação precisa necessariamente ser relatada.
De um modo geral, as violações notificáveis são aquelas que têm uma probabilidade razoável de afetar os direitos e liberdades dos titulares dos dados. Portanto, se o Assist conseguisse confirmar internamente que os arquivos não foram acessados por terceiros mal-intencionados, o incidente não teria necessariamente de ser relatado. ®
.
