Uma violação a um banco de dados em nuvem expôs informações de 10 mil clientes da Prisma Promotora, expondo-os a fraudes e outros perigos. O que permitiu o ataque à empresa brasileira, que atua com consultoria e assessoria comercial e serviços financeiros, foi uma configuração incorreta do banco de dados SQL e o bucket (container) não seguro AWS S3, encontrados em 29 de dezembro do ano passado pela equipe de pesquisa da vpnMentor.
A violação teria sido feita por meio do sistema de gestão empresarial (ERP) da empresa, que acabou expondo o banco de dados. Segundo os pesquisadores da vpnMentor, uma ferramenta de software foi usada para gerenciar e interpretar os dados de todos os aspectos das operações da empresa.
“Infelizmente, uma conta de armazenamento em nuvem conectada ao software foi deixada sem segurança e acessível publicamente pelo fornecedor do software. Isso comprometeu as informações privadas de 10 mil pessoas conectadas à Prisma Promotora, expondo-as a fraudes e outros perigos”, disse Noam Rotem, líder da equipe de pesquisa da vpnMentor.
Ao todo foram expostos 717.068 arquivos do bucket AWS S3 da Prisma contendo informações de identificação pessoal (PII) como fotos, nomes, endereços residenciais, endereços de e-mail, números de telefone e detalhes do cartão de crédito, credenciais de login da conta e gravações de áudio.
A equipe de pesquisadores descobriu originalmente o bucket não seguro do Amazon Web Services (AWS) contendo mais de 570 gigabytes de arquivos e dados de um aplicativo móvel. Ao investigar o aplicativo móvel, identificaram que os dados pertenciam a um sistema ERP sendo usado pela Prisma Promotora que estava conectado à conta da AWS.
Veja isso
Malware rouba credenciais AWS, ataca Docker e Kubernetes
Campanha mundial de ataques a servidores SQL chega ao Brasil
Entre os impactos potenciais do vazamento, na avaliação dos pesquisadores, estão fraude e roubo de identidade, golpes, phishing e malware, além de espionagem corporativa, roubo, tomada de conta e aquisição do banco de dados.
A vpnMentor comunicou a violação à Amazon no dia 3 de janeiro passado e entrou em contato com a Prisma Promotora no dia 5 de janeiro, mas não obteve resposta. “Inicialmente, contatamos a empresa que supomos ser a proprietária do bucket. Como eles não nos responderam, entramos em contato com a AWS diretamente para notificá-la sobre a violação. A AWS geralmente notifica os usuários sobre violações e configurações incorretas quando não temos sucesso em fazê-lo”, disse a empresa em comunicado ao CISO Advisor.
Segundo a vpnMentor, mesmo após ter comunicado a AWS, continuou investigando o bucket AWS S3 para confirmar alguns detalhes. “Após algumas pesquisas adicionais, identificamos a Prisma Promotora como a única proprietária dos dados expostos, mas não o bucket S3 em si. Devido a essa descoberta, também entramos em contato com a empresa para notificá-la sobre a violação e o risco para seus clientes.”
De acordo com a vpnMentor, a violação foi encerrada cerca de um mês depois, em fevereiro.