Dados pessoais, e-mails e documentos de aproximadamente dois milhões de pessoas foram expostos devido a uma falha em servidores da WSpot, que fornece soluções de gerenciamento para redes Wi-Fi públicas. As informações faziam parte de um volume de cerca de 10 GB, com mais de 226 mil arquivos, acessíveis por qualquer um a partir de uma infraestrutura desprotegida, pertencente à empresa e hospedada na nuvem da Amazon.
Na porção mais grave da exposição aparecem nomes completos, telefones, endereços, e-mails, datas de nascimento, gênero e o CPF de usuários que utilizaram a plataforma da empresa a partir das redes de seus múltiplos clientes. Um segundo lote, que também faz parte do volume, traz registros de mensagens SMS enviadas aos utilizadores, também com endereços de e-mail, os nomes das companhias a cujas redes eles estavam tentando acesso e tokens de acesso para cadastro no Wi-Fi.
A Wspot fornece serviços de gerenciamento de redes públicas de internet sem fio, disponibilizando portais de cadastro para os clientes das empresas atendidas, com registros que também podem ser usados em campanhas de e-mail marketing e fidelização. Entre os nomes citados no site oficial estão Unimed, Sicredi e Pizza Hut, além da prefeitura da cidade de Marília (SP) e do Centro Universitário São Camilo, em São Paulo (SP); não se sabe ao certo a que companhias e serviços pertencem as informações expostas.
O comprometimento foi descoberto pelos especialistas da SafetyDetectives e revelado ao Canaltech. De acordo com o relatório, a primeira parte da exposição conta com 280 mil registros, enquanto a segunda traz 2,5 milhões de entradas; de acordo com o alerta, inferir o número real de pessoas atingidas é difícil, devido à possibilidade de duplicidade entre registros feitos em diferentes empresas, com o total de dois milhões de brasileiros atingidos sendo uma estimativa.
Em exposições desse tipo, o temor sempre está relacionado ao uso dos dados expostos para atividades criminosas, como ataques de phishing e tentativas de obtenção de mais informações, principalmente financeiras. Por isso, a recomendação é de cautela, principalmente, em caso de contatos que aconteçam por telefone, e-mail ou aplicativos de mensagens. Desconfie de links enviados e pedidos de preenchimento de cadastros, principalmente se acompanhados de informações sobre problemas em contas; o ideal é evitar tais comunicações e, caso desconfie da veracidade delas, entrar em contato diretamente com o atendimento das empresas citadas, em vez de responder aos contatos.
Exposição controlada
Os impactos da brecha, porém, podem ser minimizados pela ideia de que terceiros não tiveram contato com os volumes desprotegidos. De acordo com comunicado enviado pela WSpot à reportagem, as informações expostas não foram acessadas por terceiros, assim como não há indício de invasão na infraestrutura indicada pelos especialistas como vulnerável.
Segundo a empresa, o problema atingiu cerca de 5% da base de usuários de seus sistemas e aconteceu devido a uma “falta de padronização no manejo de informações em uma pasta específica”, em uma vulnerabilidade resolvida logo após sua detecção. A WSpot aponta ainda que não lida com dados financeiros e, por conta disso, dados de cartões de crédito ou outras formas de pagamento, assim como informações de acesso a plataformas de terceiros, não foram comprometidas como parte da brecha.
O relatório da SafetyDetectives aponta uma correção rápida do problema, com a falha informada à WSpot no dia 7 de setembro sendo mitigada no dia seguinte com o fechamento do servidor. De acordo com a fornecedora de software, análises e processos adicionais, que incluíram uma investigação completa sobre a exposição por empresa de segurança da informação contratada, foram finalizados nesta quinta-feira, 18 de novembro.
Fonte: Canaltech