Um pesquisador de segurança independente descobriu dados de 32 milhões de clientes da SKY Brasil na Internet por tempo suficiente para tornar seu roubo altamente provável.
Fábio Castro Descobri que o cache de dados pode ser acessado por qualquer pessoa que saiba onde procurar na internet.
Informações pessoais prontas para seleção
Usando os recursos avançados do mecanismo de busca Shodan, ele conseguiu descobrir vários servidores no Brasil rodando o Elasticsearch que disponibilizava informações sem autenticação.
Um grupo de servidores chamado “digital-logs-prd” chamou a atenção do pesquisador e, com uma simples ordem, listou os indicadores disponíveis, um deles com tamanho de 429,1 GB.
O arquivo continha informações de identificação pessoal dos clientes da SKY Brasil, que incluíam nome completo, endereço de e-mail, senha de acesso ao serviço, endereço IP do cliente, formas de pagamento, número de telefone e endereço.
“Os dados armazenados no servidor eram o nome completo, e-mail, senha, dados de pacotes de TV paga (Sky Brasil), endereços IP de clientes, endereços pessoais e métodos de pagamento”, disse Castro à BleepingComputer. “Outras informações incluem o modelo do dispositivo, números de série do dispositivo na casa do cliente, bem como os arquivos de registro de toda a plataforma.”
A SKY Brasil é uma empresa de telecomunicações que também presta serviços de televisão, sendo a segunda maior prestadora de serviços de TV por assinatura do país, segundo Estatisticas a partir de março.
Em conversa com a BleepingComputer, Castro disse que relatou suas descobertas à empresa que resolveu o problema restringindo o acesso com uma senha, um processo que leva apenas alguns minutos.
Como o servidor está exposto há muito tempo, a ação preventiva pode ser tarde demais. É muito provável, Castro nos disse, que criminosos já tenham apreendido os dados.
Maus hábitos custam a morrer
Segundo o pesquisador, que é cliente da SKY Brasil e cujas informações também foram divulgadas, o cache de dados continha endereços residenciais e telefones de políticos de alto escalão, como governadores e funcionários do governo.
Detalhes como este são uma benção para os criminosos. Eles podem usá-lo em ataques de engenharia social que são complexos e difíceis de detectar para indivíduos ricos.
Embora proteger informações confidenciais do acesso público seja uma segurança lógica, servidores Elasticsearch mal configurados são comuns mesmo para grandes empresas que lidam com centenas de milhões de registros com dados pessoais.
Os cibercriminosos aproveitam os servidores de dados expostos online há muito tempo. O BleepingComputer relatou no passado que hackers sequestraram MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra e MySQL inseguros e os mantiveram como resgate.
“Comunicador. Ávido fanático pela web. Profissional de álcool. Organizador premiado. Defensor do bacon.”