[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

Pesquisar

A falha que expôs 435 mil reservas de hotel no Brasil

No dia 19/9/2018 o Cibersecurity noticiou a existência de um servidor da empresa brasileira HSystem expondo na Internet 435 mil registros. A descoberta havia sido feita pelo pesquisador Bob Diachenko no dia 16. Ontem, o pesquisador publicou um relato no Linkedin explicando como tudo aconteceu e o que havia no banco de dados exposto.

Leia o relato de Bob Diachenko:

Clique para ampliar

Em 16 de setembro, examinei os resultados de varredura recebidos da equipe BinaryEdge (e realmente gostaria de incentivá-los a testar o mecanismo 40fy) e me deparei com outra instância do MongoDB desprotegida. Embora a disponibilidade de um MongoDB ‘aberto para todos’ não seja mais uma novidade, o conteúdo dos conjuntos de dados imediatamente me chama a atenção, como muito tempo atrás, quando vi muitos detalhes de pagamentoe e dados pessoais combinados de um modo explosivo.

Clique para ampliar

O IP brasileiro hospedado na Amazon parecia fazer parte da empresa brasileira HBook, “motor de reservas online para seu hotel com todo o poder do e-commerce.” e continha, entre outros, 435.517 pedidos de reserva com nome, email, telefone, celular, número do documento, endereço IP e informações de pagamento (números de cartão e códigos de segurança, data e mês de vencimento, nome do titular do cartão). Números de cartões e códigos de segurança foram criptografados, enquanto o restante das informações era apresentado em texto simples. Os dados expostos incluem informações de clientes que usaram serviços do HSystem de 2014 até recentemente, setembro de 2018.

Também havia 1.750 detalhes do usuário administrador, com logins e senhas em texto aberto.

Clique para ampliar

Como você pode imaginar, não demorei muito tempo para identificar o proprietário do banco de dados exposto; portanto, no mesmo dia, 16 de setembro enviei imediatamente vários e-mails para os endereços encontrados no site e no banco de dados. Após três dias sem resposta, decidi usar o poder do Twitter e alertar a HSystem e a HBook através dos meus seguidores no Brasil. Os meus seguidores precisaram de apenas algumas horas para entrar em contato com a empresa e a base de dados foi protegida – embora nem todas as tentativas de contato tenham sido bem-sucedidas.

Logo após a publicação em um popular site brasileiro Tecmundo eu finalmente recebi uma nota do gerente da HBlock, na qual ele agradeceu e disse que não viram a minha mensagem antes porque estava no spam.

Felizmente, esse banco de dados não foi deletado por pessoas mal-intencionadas. Quero mais uma vez agradecer a todos os meus seguidores (e se você ainda não for um deles, sinta-se à vontade para me seguir @MayhemDayOne no Twitter) para obter respostas rápidas, compartilhamento e contato com empresas.

Como já relatei, problemas com o MongoDB são conhecidos desde pelo menos março de 2013 e foram amplamente divulgados desde então. A empresa atualizou seu software com padrões seguros e lançou diretrizes de segurança. Já faz cinco anos e esses bancos de dados não-seguros ainda estão amplamente disponíveis na Internet.”