Um servidor desprotegido vazou 24 milhões de documentos sigilosos sobre a habitação, não uma, mas duas vezes

[ware_item id=33][/ware_item]

Documentos de comprador expostos a vazamentos maciços na habitação


Se você mora nos EUA e comprou uma casa em algum momento da última década, suas informações podem estar em risco. Segundo o TechCrunch, mais de 24 milhões de documentos hipotecários e bancários foram expostos não uma vez mas duas.

As informações expostas incluíam contratos de empréstimos hipotecários, agendas de pagamentos, números de telefone dos mutuários e outros dados financeiros confidenciais.

O culpado? Um único servidor não seguro. Se você acha que isso é ruim, piora: além de abrigar milhões de documentos confidenciais, este servidor nem sequer incluiu uma senha.

Em outras palavras, essas informações estavam disponíveis para qualquer pessoa que tivesse cinco segundos para abrir o navegador e digitar o URL.

Deixando objetos de valor dentro com a porta da frente destrancada

Os documentos em questão foram armazenados pela Ascension, uma empresa terceirizada de análise e dados. Em um post de blog público, o especialista em infosec, Bob Diachenko, que descobriu o servidor público, afirmou que havia mais de 24 milhões de registros disponíveis abertamente.

Os registros, que remontam a mais de uma década, abrigavam 51 GB de dados OCR (reconhecimento óptico de caracteres). Embora esse tipo de texto seja facilmente legível a olho nu, ele pode ser facilmente analisado para divulgar detalhes particulares.

"Essa informação seria uma mina de ouro para os cibercriminosos que teriam tudo o que precisam para roubar identidades, registrar declarações fiscais falsas, obter empréstimos ou cartões de crédito", escreveu Diachenko..

Os credores não tinham idéia de que esses documentos existiam

O servidor exposto abrigava dezenas de milhares de documentos financeiros de vários bancos e instituições, incluindo Wells Fargo, Capital One, HSBC Life Insurance, CitiFinancial e muito mais. Embora as informações estivessem um pouco embaralhadas, era relativamente fácil reconstruir - especialmente se uma pessoa usasse as ferramentas certas.

Mas eis o exemplo: a maioria dos bancos registrou que não tem afiliação com a Ascension. De fato, a Wells Fargo registrou que não tinha "nenhum relacionamento com a Ascension desde 2010." O HSBC disse a mesma coisa.

Isso significa que os documentos pessoais das pessoas saltaram de diferentes empresas, trocando de mãos várias vezes - em alguns casos sem o credor financeiro original mesmo sabendo- eventualmente, aterrissar em um site que convidava estranhos.

Engane-me duas vezes, que vergonha

A exposição parece um caso aberto e fechado, certo? Infelizmente não. Um dia após o relatório inicial, Diachenko encontrou outro servidor não seguro que abrigava os mesmos arquivos. Este servidor mais uma vez não incluiu um bloqueio de senha e, pior ainda, listou todos os documentos confidenciais em texto sem formatação.

Mais uma vez, piora. Os arquivos foram armazenados em um servidor de armazenamento Amazon S3, que por padrão habilita a proteção por senha. Isso significa que a parte (s) responsável por hospedar esses documentos pessoais desativou voluntariamente as configurações de proteção por senha.

É como manter todo o seu dinheiro debaixo do colchão, remover fisicamente a porta da frente e sair de férias por uma semana!

OK, se você pensou que as coisas poderiam piorar com a história dos documentos hipotecários que contamos, você está errado. Encontrei o bucket OPEN S3 publicamente de uma empresa cheio de documentos digitalizados que eram usados ​​para OCR => Elasticsearch… @zackwhittaker dirá mais em um segundo

- Bob Diachenko (@MayhemDayOne) 24 de janeiro de 2019

Vale ressaltar que, como o primeiro cache de dados, este também incluía W-2s e outros documentos financeiros confidenciais. Infelizmente, também não há como saber por quanto tempo essas informações foram expostas ou quais partes a viram..

"Suponho que, depois de uma publicidade como essas, a primeira coisa a fazer é verificar se o armazenamento em nuvem está inativo ou, pelo menos, protegido por senha", disse Diachenko..

Aparentemente não.

Etapas para ajudar a proteger suas informações

Embora seja perfeitamente possível que nenhum dano tenha sido causado, nunca é demais estar preparado. Se você mora nos EUA e comprou uma casa na última década, pode levar alguns minutos para revisar seus relatórios de crédito recentes e verificar se há mudanças importantes..

Também é recomendável habilitar a autenticação de dois fatores em suas várias contas online. Ao configurar um segundo método de login, terceiros não poderão fazer login em suas várias contas, mesmo que tenham todas as suas informações.

Além disso, também é importante verificar todos os endereços de e-mail antes de abrir um anexo. Com partes de suas informações pessoais em mãos, sabe-se que os hackers enviam e-mails maliciosos disfarçados de uma empresa respeitável que geralmente mencionam detalhes específicos (por exemplo, seu nome de usuário, senha etc.) e depois solicitam que o destinatário mude (ou confirme) senha, abra um anexo e muito mais.

Se você não conhece o destinatário, ou se um email é automaticamente sinalizado como suspeito, é melhor abordar com cautela.

Embora essa história ainda esteja em desenvolvimento, ela serve como um alerta para sempre ativar suas configurações de senha e segurança. Como você não pode confiar em uma empresa aleatória para proteger seus dados pessoais, cabe a você tomar sua privacidade em suas próprias mãos.

Um servidor desprotegido vazou 24 milhões de documentos sigilosos sobre a habitação, não uma, mas duas vezes
admin Author
Sorry! The Author has not filled his profile.