DigitalOcean informa a clientes vazamento de dados de pagamento

Vazamento de dados encontrado pelo pesquisador Carlos Rodrigues em IPs da Digital Ocean foi informado à empresa em 30 de março
Da Redação
29/04/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A DigitalOcean, um provedor americano de infraestrutura de nuvem, enviou e-mails a um número não revelado de clientes informando-os de que houve vazamento parcial de dados de pagamento relacionados a eles. De acordo com a empresa, pessoas não identificadas tiveram acesso a “alguns dados de pagamento por meio de uma vulnerabilidade que já foi corrigida” entre os dias 9 e 22 de abril deste ano. Como resultado do incidente, disse o e-mail, os invasores conseguiram os nomes e endereços dos clientes usados ​​para o faturamento, bem como informações sobre os últimos quatro dígitos dos cartões de pagamento, suas datas de vencimento e o nome do banco emissor do cartão. O vazamento não afetou senhas e tokens de conta, disse a empresa.

Coincidência ou não, no dia 23 de março deste ano, o pesquisador Carlos Rodrigues, uma das fontes de tecnologia de segurança do CISO Advisor avisou a redação de que tinha um relatório confidencial sobre a localização de alguns endereços IP expondo diretórios e seus arquivos, e que os endereços pertenciam ao range da DigitalOcean. Os diretórios exibidos mostravam, entre outras coisas, 16 arquivos em formato CSV e outros oito em formato TXT, explicou o pesquisador. Os dados contidos nesses arquivos, segundo ele, são compatíveis com aqueles agora informados pela Digital Ocean aos clientes. Além disso, Rodrigues disse que um dos diretórios expostos continha material suficiente para reproduzir inteiramente o site da DigitalOcean – o que poderia ser utilizado para fins ilegais.

Veja isso
Alerta DevOps: 12 mil servidores Jenkins são expostos a ataques DDoS
FireEye e Telefonica anunciam parceria

A redação do CISO Advisor entrou em contato com a assessoria de imprensa da Digital Ocean informando a existência do relatório e uma semana depois, no dia 30, o diretor de Security Operations da empresa respondeu por email, sugerindo que as informações possivelmente fossem de um cliente. Com a notícia de hoje, o CISO Advisor entrou em contato com o executivo para confirmar se o vazamento de dados comunicado aos clientes é o mesmo informado por Rodrigues. O diretor respondeu dizendo que os dois assuntos “não parecem estar relacionados”.

O provedor informou já ter eliminado a vulnerabilidade por meio da qual ocorreu o vazamento comunicado aos clientes e disse que notificou as autoridades sobre isso. Para evitar incidentes semelhantes no futuro, a DigitalOcean disse também ter implementado monitoramento de conta e medidas de segurança adicionais. De acordo com Tyler Healy, chefe de segurança da DigitalOcean, 1% dos perfis de pagamento vazaram, mas ele não entrou em detalhes sobre como a vulnerabilidade foi identificada ou quais reguladores ou autoridades foram notificados.

Com agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)