SKY Brasil oferece 32 milhões de cadastros de clientes

Um pesquisador de segurança independente descobriu dados de 32 milhões de clientes da SKY Brasil na Internet por tempo suficiente para tornar seu roubo altamente provável.

Fábio Castro Descobri que o cache de dados pode ser acessado por qualquer pessoa que saiba onde procurar na internet.

Informações pessoais prontas para seleção

Usando os recursos avançados do mecanismo de busca Shodan, ele conseguiu descobrir vários servidores no Brasil rodando o Elasticsearch que disponibilizava informações sem autenticação.

Um grupo de servidores chamado “digital-logs-prd” chamou a atenção do pesquisador e, com uma simples ordem, listou os indicadores disponíveis, um deles com tamanho de 429,1 GB.

O arquivo continha informações de identificação pessoal dos clientes da SKY Brasil, que incluíam nome completo, endereço de e-mail, senha de acesso ao serviço, endereço IP do cliente, formas de pagamento, número de telefone e endereço.

“Os dados armazenados no servidor eram o nome completo, e-mail, senha, dados de pacotes de TV paga (Sky Brasil), endereços IP de clientes, endereços pessoais e métodos de pagamento”, disse Castro à BleepingComputer. “Outras informações incluem o modelo do dispositivo, números de série do dispositivo na casa do cliente, bem como os arquivos de registro de toda a plataforma.”

A SKY Brasil é uma empresa de telecomunicações que também presta serviços de televisão, sendo a segunda maior prestadora de serviços de TV por assinatura do país, segundo Estatisticas a partir de março.

Em conversa com a BleepingComputer, Castro disse que relatou suas descobertas à empresa que resolveu o problema restringindo o acesso com uma senha, um processo que leva apenas alguns minutos.

Como o servidor está exposto há muito tempo, a ação preventiva pode ser tarde demais. É muito provável, Castro nos disse, que criminosos já tenham apreendido os dados.

READ  TIM Brasil e Intelsat expandem tecnologia 4G para o Brasil carente

Maus hábitos custam a morrer

Segundo o pesquisador, que é cliente da SKY Brasil e cujas informações também foram divulgadas, o cache de dados continha endereços residenciais e telefones de políticos de alto escalão, como governadores e funcionários do governo.

Detalhes como este são uma benção para os criminosos. Eles podem usá-lo em ataques de engenharia social que são complexos e difíceis de detectar para indivíduos ricos.

Embora proteger informações confidenciais do acesso público seja uma segurança lógica, servidores Elasticsearch mal configurados são comuns mesmo para grandes empresas que lidam com centenas de milhões de registros com dados pessoais.

Os cibercriminosos aproveitam os servidores de dados expostos online há muito tempo. O BleepingComputer relatou no passado que hackers sequestraram MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra e MySQL inseguros e os mantiveram como resgate.

Deixe um comentário

O seu endereço de e-mail não será publicado.