Mercado fechado

Gigante varejista digital da Índia sofre vazamento de dados de 200 mil clientes

Os dados de pelo menos 200 mil clientes da varejista indiana High rich foram expostos na internet após a descoberta de um servidor aberto, pertencente à empresa e acessível por qualquer pessoa. A infraestrutura dava acesso a um banco de dados com informações pessoais de clientes e também registros de compras realizadas nos serviços da empresa, que tem as entregas de supermercado como foco principal.

Fazem parte do volume informações como e-mails, telefones e senhas criptografadas em um formato frágil, o MD5, que pode ser facilmente quebrado por cibercriminosos. Além disso, outros 470 mil registros são relacionados às aquisições feitas pelos usuários e incluem nomes completos, endereços, números de identificação e notas fiscais de produtos, representando também uma quebra na privacidade dos atingidos.

De acordo com os especialistas do Cybernews, responsáveis pela descoberta, o banco de dados da High rich também continha logs de login único, alimentados em tempo real. A partir deles, criminosos também poderiam fraudar sistemas de verificação em duas etapas para assumir o controle de contas e obter acesso a eventuais cartões de crédito cadastrados, que poderiam ser usados para compras fraudulentas.

O volume, com um tamanho total de 18,2 GB, foi localizado pelo Cybernews no dia 20 de setembro em um servidor da High rich nos serviços da Amazon. A empresa foi notificada pelos especialistas e resolveu o problema pouco depois, mas não respondeu sobre eventuais acessos ou medidas de mitigação de incidentes. A companhia, também, não se pronunciou sobre o assunto.

Fraude de identidade é risco em vazamentos de dados

O perigo maior, conforme aponta o pesquisador Aras Nazarovas, é quanto ao roubo de identidade e tentativas de intrusão a contas de e-mail, redes sociais, sistemas financeiros e outros. De posse das informações expostas pela varejista, criminosos podem tentar invadir outras plataformas de forma sucessiva, confiando no uso de práticas ruins de segurança pelos usuários, que podem repetir as senhas em mais de uma plataforma.

O relatório também ressalta o uso de métodos fracos de criptografia de senhas, citados como negligência com os dados dos clientes. O uso do protocolo MD5 faz com que a proteção não tenha muita utilidade em um caso de vazamento, com os ganhos envolvendo agilidade e redução de custos no uso de tecnologias fracas não valendo de nada diante dos prejuízos ligados à reputação e perda de clientes.

A recomendação aos usuários cujos dados são expostos em vazamentos assim é a aplicação de medidas de higiene digital, principalmente no uso de senhas. O ideal é usar combinações complexas e que não sejam facilmente descobertas, de forma exclusiva para cada serviço; assim, o comprometimento das credenciais em um não acaba gerando aberturas em todos os outros. Usar autenticação em duas etapas também impede o acesso por criminosos, mesmo que eles possuam a chave correta.

Além disso, é importante tomar cuidado com mensagens ou ligações em nome dos serviços atingidos, principalmente quando exigirem informações pessoais ou financeiras. Os golpistas também podem se passar por representantes de outras empresas, com a atenção aos contatos sendo fundamental para evitar que a exposição de informações resulte em golpes.

Fonte: Canaltech

Trending no Canaltech: