.png)
.png)
.png)
.png)
.
Exclusivo Mais de 600.000 arquivos confidenciais contendo milhares de históricos criminais de pessoas, verificações de antecedentes, registros de veículos e propriedades foram expostos à Internet em um banco de dados não protegido por senha pertencente à corretora de dados SL Data Services, de acordo com um pesquisador de segurança.
Não sabemos por quanto tempo as informações pessoais estiveram publicamente acessíveis. O especialista da Infosec, Jeremiah Fowler, diz que encontrou o bucket do Amazon S3 em outubro e o relatou à empresa de coleta de dados por telefone e e-mail a cada poucos dias, durante mais de duas semanas.
Além de não serem protegidas por senha, nenhuma informação era criptografada, disse ele O Registro. No total, o balde aberto continha 644.869 arquivos PDF em um arquivo de 713,1 GB.
“Mesmo quando eu fazia ligações para vários números em sites diferentes e dizia que havia um incidente de dados, eles me diziam que usavam criptografia de 128 bits e certificados SSL – houve muitas reviravoltas”, afirmou ele.
Cerca de 95% dos documentos que Fowler viu estavam rotulados como “verificações de antecedentes”, disse ele. Eles continham nomes completos, endereços residenciais, números de telefone, endereços de e-mail, empregos, familiares, contas de mídia social e antecedentes criminais pertencentes a milhares de pessoas. Em pelo menos um desses documentos, o registo criminal indicava que a pessoa tinha sido condenada por má conduta sexual. Incluía detalhes do caso, multas, datas e encargos adicionais.
Embora os registros judiciais e o status de agressor sexual sejam geralmente registros públicos nos EUA, esse cache exposto poderia ser combinado com outros pontos de dados para criar perfis completos de pessoas – junto com seus familiares e colegas de trabalho – fornecendo tudo o que os criminosos precisariam para phishing direcionado. e/ou ataques de engenharia social.
Eles me diziam que usam criptografia de 128 bits e certificados SSL – houve muitas reviravoltas
“O maior risco, na minha opinião, seria a maneira como eles compilam uma imagem completa e um perfil de um indivíduo que vai muito além da informação semipública básica que poderia estar disponível online”, disse Fowler. O Registro. “Isso coloca em risco potencial tanto o indivíduo quanto sua família ou associados – ou mesmo indivíduos que não têm nada a ver com a pessoa identificada na verificação de antecedentes”.
Os criminosos também poderiam usar essas informações expostas para obter outros dados pessoais ou financeiros confidenciais, acrescentou.
“Como você sabe, quando se trata de phishing, quanto mais informações você tiver sobre uma pessoa, melhor”, observou Fowler. “Saber coisas como emprego, antecedentes criminais e membros da família a partir de um relatório levanta muitas preocupações de segurança”.
O provedor de serviços de informação acabou fechando o bucket S3, diz Fowler, embora nunca tenha recebido qualquer resposta. O Registro também entrou em contato com a SL Data Services para comentar e não obteve resposta.
Embora não haja nenhuma indicação de que os criminosos tenham descoberto o banco de dados aberto e espionado os arquivos confidenciais nele contidos, vimos muitos exemplos recentes dos propósitos nefastos para os quais esse tipo de informação pessoal poderia ser usada se caísse em mãos erradas.
No início deste ano, ladrões digitais saquearam outra empresa de verificação de antecedentes e depois listaram – por 3,5 milhões de dólares num fórum de crimes cibernéticos – o que os criminosos alegaram ser 2,9 mil milhões de registos sensíveis ligados a cidadãos norte-americanos, canadianos e britânicos.
Em agosto, a National Public Data confirmou a intrusão e o vazamento massivo de dados. No mês passado, a sua empresa-mãe, Jericho Pictures, pediu falência, admitindo que “centenas de milhões” de pessoas foram potencialmente afetadas.
SL Data Services afirma fornecer relatórios de propriedade – incluindo dados de propriedade e garantia, informações de proprietários e vizinhos, informações sobre crimes e escolas, além de dados de hipotecas e impostos – para imóveis residenciais nos EUA, de acordo com seu perfil do Better Business Bureau.