Mais uma empresa que cuida de dados sofre com um vazamento. Desta vez, mais de 750 mil formulários de certidão de nascimento nos Estados Unidos foram expostos via internet. De acordo com o site TechCrunch, os documentos foram encontrados em um banco da Amazon Web Services (AWS), que é justamente uma solução de armazenamento baseada na nuvem.
Os dados expostos, mantidos por uma empresa que ajuda na obtenção de uma cópia de sua certidão de nascimento, supostamente não têm proteção por senha. Além disso, o endereço da web no qual os registros são mantidos é “fácil de adivinhar”. A empresa não teve a identidade revelada pelo TechCrunch, de modo a proteger os clientes, já que os documentos aparentemente continuam expostos.
O cache foi descoberto pela Fidus, uma empresa de cibersegurança do Reino Unido. Os formulários expostos mostram uma série de informações, como o nome do requerente, data de nascimento, endereço residencial, email e número de telefone. O vazamento expôs também dados de histórico dos clientes, como endereços antigos, nomes de parentes e o motivo da solicitação. Ao que parece, não há dados financeiros ou de pagamentos envolvidos.
O TechCrunch relata que os requerimentos expostos datam de 2017. O cache também está sendo atualizado com frequência, sendo que 9 mil solicitações novas foram adicionadas em apenas uma semana. A Amazon afirmou que informará a empresa da situação, mas acrescentou que não pode tomar medidas diretas para resolver o problema.
Casos como este, em que empresas falham em definir corretamente suas configurações da AWS para proteger seus buckets de armazenamento, são recorrentes. Por isso, a Amazon lançou, há poucos dias, uma ferramenta que permite clientes corporativos revisarem mais facilmente suas políticas de acesso ao bucket, e que alerta caso o depósito esteja aberto ao público.
Em um caso semelhante que ocorreu no mês passado, cerca de 450 mil jogadores do MTG Arena e Magic Online tiveram seus dados pessoais expostos. O vazamento ocorreu depois que um arquivo de backup do banco de dados foi deixado em um depósito público da AWS sem proteção por senha. O erro foi da empresa Wizards of the Coast, responsável pelos jogos.
Fonte: TechCrunch