MP investiga vazamento da Marriott que afetou 500 milhões de clientesClonagem de WhatsApp para roubar dinheiro já afeta mais de 5 mil pessoas
O pesquisador Fábio Castro descobriu servidores na internet que mostravam dados pessoais dos clientes da Sky sem pedir autenticação. Isso inclui nome completo, data de nascimento, e-mail, dados do pacote de TV por assinatura, senha de login do serviço, endereço IP do cliente, métodos de pagamento, número de telefone e endereço físico. Como saber se os 32 milhões de registros são legítimos? Bem, Castro é assinante da Sky e encontrou seus próprios dados no servidor. Ele também se deparou com o cadastro de governadores e altos funcionários do governo. Além disso, a base mostrava “o modelo do dispositivo, o número de série do dispositivo que está na casa do cliente, e os arquivos de registro de toda a plataforma”, diz ele ao Bleeping Computer. O pesquisador informou sua descoberta à Sky, e a empresa resolveu o problema restringindo o acesso com uma senha. No entanto, como o servidor estava exposto há muito tempo, os dados podem ter vazado. É isso o que o MPDFT quer descobrir. https://twitter.com/6IX7ine/status/1067779873933017088 A brecha envolve o Elasticsearch, motor de busca bastante usado em empresas. Ele consegue analisar muitos dados em tempo real, além de ser um projeto open-source, mas há quem não proteja o acesso com login e senha. Os dados da Sky estavam em um grupo de servidores chamado “digital-logs-prd”, e um dos índices tinha 429,1 GB. A Sky é a segunda maior operadora de TV paga no Brasil, com quase 30% de participação de mercado. Ela fica atrás somente da Claro/NET, com 49% de share. A empresa também oferece banda larga através de 4G residencial em diversos estados.
Vazamento da Tivit tem login e senha de seus clientes
O MPDFT também vai investigar um vazamento da Tivit que expôs dados de seus clientes, incluindo empresas como Banco Original, Votorantim, Sebrae, Klabin, Brookfield e Multiplan. Esta semana, o DefCon-Lab encontrou no Pastebin um arquivo com e-mails e estruturas de rede da Tivit, mais login e senha de acesso de seus clientes empresariais. Os dados foram divulgados no Twitter pela conta @infoleakbr. Carlos Gazaffi, presidente da Tivit, diz em carta aos clientes que “foram identificados acessos não-autorizados a arquivos, senhas e e-mails de nove funcionários”, segundo o Valor. A empresa afirma em comunicado que está realizando uma investigação, e que “tomou as medidas necessárias para garantir a segurança das informações”. As investigações ficarão a cargo da Espec (Unidade Especial de Proteção de Dados e Inteligência Artificial), do MPDFT, comandada pelo promotor de justiça Frederico Meinberg Ceroy. Estas são algumas das empresas e entidades já sendo investigadas:
Facebook, em três inquéritos separados (Cambridge Analytica, reconhecimento facial, vazamento de dados de setembro);Google e YouTube;Vivo;FIESP;C&A;Marriott e a subsidiária Starwood Hotels and Resorts;Acesso Digital, Certibio e CredDefense, que vendem serviço de reconhecimento facial;In Loco, que monitora localização de smartphones para exibir anúncios direcionados.
Com informações: MPDFT, Valor.
