Milhões de chineses que utilizam aplicativos de empréstimos bancários tiveram seus dados expostos online. Um pesquisador de segurança descobriu um banco de dados público contendo informações confidenciais de mais de 4,6 milhões de dispositivos, incluindo histórico de localização, registros de dívidas, informações financeiras e de contato.

O banco de dados tinha mais de 899 gigabytes de dados provenientes de mais de 100 aplicativos relacionados a empréstimos na China, segundo Anurag Sen, o pesquisador de segurança independente que descobriu o vazamento. E a quantidade de informações disponíveis continuava crescendo, já que esses reunia a atividades dos usuários nos aplicativos em em tempo real.

Sen disse que sua equipe notificou o Alibaba – que hospedava o banco de dados – em 11 de julho, mas não conseguiu contatar o proprietário do banco de dados. Segtundo o pesquisador, olhando para o tipo de dados armazenados ele provavelmente pertence a uma agência de marketing para aplicativos móveis.

O banco registrava a latitude e a longitude de um dispositivo toda vez que o proprietário fazia login no aplicativo. Um atacante com acesso a esse servidor público seria essencialmente capaz de rastrear milhões de pessoas em tempo real, além de ter acesso a uma lista detalhada de contatos e suas informações de crédito.

“Um malfeitor pode aproveitar as informações como número de telefone e endereço para roubar identidades ou, em um caso grave, causar danos físicos”, disse Sen em um email. “Alguns dos maiores riscos que podemos imaginar seriam a espionagem do governo ou da empresa (ainda mais em um país como a China), já que temos alguns registros de localização, registros de chamadas e de textos”.

Sen liderou a pesquisa através da Safety Detective , uma empresa israelense que analisa software antivírus. Um dos mais de 100 aplicativos que enviavam dados para esse servidor era o Youyidai, um app de empréstimo que foi baixado mais de 1,4 milhão de vezes na China.

Os aplicativos de empréstimo usam dados pessoais para aprovar empréstimos, uma função útil considerando que milhões de cidadãos chineses não têm pontuação de crédito, mas a descoberta de Sen levanta a preocupação de que esses aplicativos não estejam protegendo adequadamente os dados das pessoas.

“Vazamentos como esses estão ocorrendo continuamente porque as empresas administram mal o servidor onde armazenam os registros. É um erro técnico e primário, que pode causar danos muito sérios às empresas e aos seus clientes”, disse Sen. 

Não está claro se criminosos acessaram os dados que Sen descobriu. Se hackers mal-intencionados obtivessem acesso a essa informação, disse Sen, haveria “detalhes mais que suficientes para tomar inteiramente a identidade de alguém sem nenhum esforço significativo”.

A Alibaba colocou o servidor offline depois que a CNET entrou em contato com a empresa. “Fornecemos diretrizes e treinamento de segurança para todos os nossos clientes, e sempre os aconselhamos a proteger seus dados definindo uma senha segura, entre outras recomendações de segurança”, disse um porta-voz da Alibaba em um comunicado.

“Uma série de ações foram tomadas imediatamente para identificar, alertar e orientar o cliente, assim que o Alibaba Cloud foi informado sobre a vulnerabilidade do banco de dados hospedada em nossa plataforma de nuvem pública”, disse a empresa, que se recusou a informar o nome do dono do banco de dados.

Fonte: CNET