.
Exclusivo Mais de 600.000 arquivos confidenciais contendo milhares de históricos criminais de pessoas, verificações de antecedentes, registros de veículos e propriedades foram expostos à Internet em um banco de dados não protegido por senha pertencente à corretora de dados SL Data Services, de acordo com um pesquisador de segurança.
Não sabemos por quanto tempo as informações pessoais estiveram publicamente acessíveis. O especialista da Infosec, Jeremiah Fowler, diz que encontrou o bucket do Amazon S3 em outubro e o relatou à empresa de coleta de dados por telefone e e-mail a cada poucos dias, durante mais de duas semanas.
Além de não serem protegidas por senha, nenhuma informação era criptografada, disse ele O Registro. No total, o balde aberto continha 644.869 arquivos PDF em um arquivo de 713,1 GB.
“Mesmo quando eu fazia ligações para vários números em sites diferentes e dizia que havia um incidente de dados, eles me diziam que usavam criptografia de 128 bits e certificados SSL – houve muitas reviravoltas”, afirmou ele.
Cerca de 95% dos documentos que Fowler viu estavam rotulados como “verificações de antecedentes”, disse ele. Eles continham nomes completos, endereços residenciais, números de telefone, endereços de e-mail, empregos, familiares, contas de mídia social e antecedentes criminais pertencentes a milhares de pessoas. Em pelo menos um desses documentos, o registo criminal indicava que a pessoa tinha sido condenada por má conduta sexual. Incluía detalhes do caso, multas, datas e encargos adicionais.
Embora os registros judiciais e o status de agressor sexual sejam geralmente registros públicos nos EUA, esse cache exposto poderia ser combinado com outros pontos de dados para criar perfis completos de pessoas – junto com seus familiares e colegas de trabalho – fornecendo tudo o que os criminosos precisariam para phishing direcionado. e/ou ataques de engenharia social.
Eles me diziam que usam criptografia de 128 bits e certificados SSL – houve muitas reviravoltas
“O maior risco, na minha opinião, seria a maneira como eles compilam uma imagem completa e um perfil de um indivíduo que vai muito além da informação semipública básica que poderia estar disponível online”, disse Fowler. O Registro. “Isso coloca em risco potencial tanto o indivíduo quanto sua família ou associados – ou mesmo indivíduos que não têm nada a ver com a pessoa identificada na verificação de antecedentes”.
Os criminosos também poderiam usar essas informações expostas para obter outros dados pessoais ou financeiros confidenciais, acrescentou.
“Como você sabe, quando se trata de phishing, quanto mais informações você tiver sobre uma pessoa, melhor”, observou Fowler. “Saber coisas como emprego, antecedentes criminais e membros da família a partir de um relatório levanta muitas preocupações de segurança”.
O provedor de serviços de informação acabou fechando o bucket S3, diz Fowler, embora nunca tenha recebido qualquer resposta. O Registro também entrou em contato com a SL Data Services para comentar e não obteve resposta.
Embora não haja nenhuma indicação de que os criminosos tenham descoberto o banco de dados aberto e espionado os arquivos confidenciais nele contidos, vimos muitos exemplos recentes dos propósitos nefastos para os quais esse tipo de informação pessoal poderia ser usada se caísse em mãos erradas.
No início deste ano, ladrões digitais saquearam outra empresa de verificação de antecedentes e depois listaram – por 3,5 milhões de dólares num fórum de crimes cibernéticos – o que os criminosos alegaram ser 2,9 mil milhões de registos sensíveis ligados a cidadãos norte-americanos, canadianos e britânicos.
Em agosto, a National Public Data confirmou a intrusão e o vazamento massivo de dados. No mês passado, a sua empresa-mãe, Jericho Pictures, pediu falência, admitindo que “centenas de milhões” de pessoas foram potencialmente afetadas.
SL Data Services afirma fornecer relatórios de propriedade – incluindo dados de propriedade e garantia, informações de proprietários e vizinhos, informações sobre crimes e escolas, além de dados de hipotecas e impostos – para imóveis residenciais nos EUA, de acordo com seu perfil do Better Business Bureau.
Embora o banco de dados aberto que Fowler diz ter encontrado pertencesse à SL Data Services, as pastas dentro dele foram nomeadas com domínios de sites separados, observou ele, acrescentando que a empresa parece operar pelo menos 16 sites diferentes que fornecem uma variedade de dados diferentes. “Por exemplo, PropertyRec, um site que anuncia dados de pesquisas imobiliárias e imobiliárias, foi mencionado no nome do banco de dados”, escreveu Fowler em um relatório previsto para ser publicado na quarta-feira.
Combinação perfeita: registros de propriedade + verificações criminais
“No entanto, parece que a empresa oferece mais do que apenas registros de propriedades”, acrescentou. “Em um telefonema para o suporte ao cliente, fui informado que eles também fornecem verificações criminais, registros de divisão de veículos motorizados (DMV), registros de óbito e nascimento.”
PropertyRec não respondeu a O Registropedido de comentário.
Outro aspecto preocupante é que os arquivos do banco de dados foram nomeados neste formato: “First_Middle_Last_State.PDF”.
Embora esse mecanismo de nomenclatura forneça uma maneira fácil de organizar e pesquisar arquivos, Fowler também recomenda que as organizações usem identificadores exclusivos aleatórios e com hash e, de outra forma, não incluam nenhuma informação pessoal ou identificável.
Ele sugere que qualquer organização que coleta e armazena dados confidenciais monitore seus logs de acesso. “Isso pode ajudar a identificar quaisquer padrões incomuns – como casos de visualização em massa ou download de arquivos do banco de dados de armazenamento em nuvem da organização ou da rede interna”, explicou Fowler.
E por favor, use senhas e criptografia. ®
.
