A equipe de pesquisadores de segurança cibernética da SafetyDetectives descobriu um vazamento de dados significativo da WSpot, com sede em Campinas, interior de São Paulo. A empresa de software fornece uma solução de gerenciamento Wi-Fi que permite às empresas controlar várias funções de suas redes Wi-Fi e dos roteadores.
Segundo os especialistas da SafetyDetectives, um bucket S3 (espécie de contêiner de objetos) da Amazon Web Services (AWS) mal configurado pela WSpot foi deixado em aberto, expondo informações confidenciais de milhões de pessoas. A WSpot tem como clientes empresas como a Sicredi, Unimed, McDonald’s, Prefeitura de Marília e Hospital das Clínicas de São Paulo.
A empresa fornece a esses clientes um software de gerenciamento de redes Wi-Fi e dos roteadores por meio do portal na web WSpot. O software fornece segurança e controle adicionais para empresas que permitem que consumidores se conectem ao Wi-Fi sem uma senha. A autenticação do cliente é feita por meio de um portal, com a coleta de dados.
De acordo com relatório da SafetyDetectives, a violação de dados do WSpot comprometeu mais de 226 mil arquivos, totalizando 10 GB de dados. Entre os registros desses arquivos está uma série de dados confidenciais e pessoais relativos aos clientes do WSpot e seus visitantes.
A AWS não gerencia o servidor da WSpot e não é responsável por sua configuração. Ela apenas fornece a plataforma para armazenamento de dados e o bucket S3 do servidor foi deixado sem nenhum procedimento de autenticação.
“Descobrimos dois tipos de arquivos diferentes expostos no banco de dados aberto — logs de SMS e relatórios de convidados. Pode haver mais informações expostas que não estavam visíveis em nossos dados de amostra. 84 MB de arquivos contendo logs de SMS foram encontrados no banco de dados da WSpot. Havia um total estimado de 280 mil entradas de log desse tipo. Esses dados, como endereços de e-mail, conteúdo de SMS, incluindo senhas de usuário, pertencem às pessoas que se conectaram ao Wi-Fi de cada cliente da WSpot”, dizem os pesquisadores da SafetyDetectives.
A evidência dos logs de SMS pode ser vista na captura de tela abaixo.
As listas de dados expostos revelam vários tipos diferentes de informações de identificação pessoal (PII, sigla em inglês) de visitantes que se conectaram ao Wi-Fi público de cada cliente da WSpot. Foram vazados nomes, endereço de e-mail, números de telefone, gênero, datas de nascimento, endereços e códigos postais e números de CPF.
Segundo os pesquisadores da SafetyDetectives, é difícil saber o número exato de pessoas afetadas devido à presença de arquivos duplicados e entradas de registro. Eles estimam que 2,5 milhões de brasileiros podem ter sido afetados por esta violação de dados.
A empresa diz que também foram expostos um mínimo de 550 MB de relatórios de clientes em formato “.csv”. Isso, segundo os pesquisadores, pressupõe um total estimado de 2,5 milhões de entradas de log, embora uma parte seja considerada duplicata.
Veja isso
Vazamento no SBT e defacement no TJ do Amazonas
Accenture confirma invasão e vazamento de dados
Planilhas de relatórios de hóspedes em formato “.csv” parecem ser logs de sites criados e mantidos por cada roteador Wi-Fi de clientes da WSpot. Os endereços IP dos usuários apresentados nos registros são todos os endereços IP locais. Isso sugere que foram coletados por roteadores em uma rede privada para identificar os dispositivos dos usuários. A presença de endereços MAC nos registros — IDs de placas de rede conhecidas apenas por dispositivos de uma rede local — confirma essa suspeita.
A equipe de pesquisa SafetyDetectives encontrou o servidor em 2 de setembro. O bucket S3 da Amazon desprotegido da WSpot estava ativo e sendo atualizado no momento da descoberta. Depois de descobrir o banco de dados da WSpot, a equipe de pesquisa da SafetyDetectives enviou um comunicado da violação de dados para o WSpot em 7 de setembro de 2021. Uma mensagem de acompanhamento foi enviada um dia depois para a qual a WSpot respondeu, protegendo a violação em 8 de setembro de 2021.
Impacto da violação de dados
As partes afetadas podem enfrentar vários riscos cibernéticos, caso os hackers acessem o conteúdo do bucket S3 desprotegido. A SafetyDetectives diz que não é possível saber se hackers acessaram o servidor. No entanto, com procedimentos de segurança inadequados em vigor, hackers podem ter encontrado o servidor e ler ou fazer download de seus dados com facilidade. Nesse caso, as pessoas, os clientes da WSpot e a empresa devem entender os riscos que podem enfrentar.
O banco de dados da WSpot vazou os endereços de e-mail e números de telefone de cidadãos brasileiros. Dessa forma, cibercriminosos podem entrar em contato com as pessoas para atacá-las com golpes e fraudes. Os invasores podem lançar golpes usando informações de identificação pessoal do visitante para parecer confiável.
Os hackers podem ter como alvo pessoas que tiveram seus dados vazados com ataques de phishing. Os ataques de phishing tentam convencer a vítima a revelar informações confidenciais ou clicar em um link malicioso. Os phishers costumam usar essas informações para golpes, fraudes e vários outros crimes cibernéticos no futuro. Também podem fazer referência a produtos, serviços, reembolsos ou outros tópicos comuns para construir uma narrativa em torno do motivo da comunicação. Assim que construírem uma relação de confiança, os phishers tentarão convencer a vítima a fornecer informações ou clicar em um link. Esses links podem conter malware e, uma vez clicado, esse malware pode ser baixado no dispositivo da vítima, permitindo que os criminosos roubem mais informações para complementar outros ataques ou comprometer as contas do usuário.
Esclarecimento da WSpot
Procurada pela reportagem do CISO Advisor, a WSport enviou, por meio de sua assessoria de imprensa, uma nota de esclarecimento, a qual publicamos na íntegra, a seguir:
“A WSpot informa que está ciente e reconhece a existência de um problema de exposição irregular de dados de cadastro de uma pequena parcela de usuários de redes Wi-Fi de alguns de nossos clientes. O problema foi detectado em 7 de setembro e mitigado no dia seguinte, com a finalização dos processos de correção ocorrendo em 18 de novembro.
Ademais, a WSpot contratou especializada em segurança da informação especificamente para uma investigação completa sobre os dados.
Primeiramente, explica-se que a empresa não faz a captação de dados de movimentação financeira. Também se esclarece que não foram desprotegidas quaisquer senhas de cadastro, dados de cartão de crédito ou outras formas de pagamento, bem como o acesso a plataformas terceiras e de uso pessoal.
É importante destacar que os servidores da WSpot se mantêm intactos e não foram invadidos por agentes terceiros maliciosos. Nesse sentido, nossa plataforma permanece dentro dos mais rígidos padrões de segurança. E ainda: não se confirmou que os dados expostos chegaram, de fato, ao domínio de pessoas e grupos mal-intencionados.
Explica-se que o ocorrido se deveu a uma falta de padronização no manejo de
informações em uma pasta específica de um dos recursos de nosso sistema, questão esta já resolvida logo após a detecção do problema.
Ressalta-se que a questão afetou apenas 5% de nossa base total de clientes, sendo que nenhum deles teve informações empresariais e/ou sensíveis comprometidas.
Vale salientar ainda que não foram divulgadas senhas pessoais, apenas tokens randômicos. Além disso, não se tratou de um vazamento, mas uma questão de exposição irregular de dados que não afetou os dados das empresas, somente de pessoas que acessaram o Wi-Fi.
Reitera-se o compromisso da WSpot com a observância das normas vigentes no país, em especial alusão à Lei Geral de Proteção de Dados Pessoais (LGPD), bem como no dever de transparência com nossos clientes e nossos parceiros.”
Para ter acesso à íntegra do relatório da SafetyDetectives clique aqui.
