Pesquisador de segurança cibernética encontra e-mails e registros de TI internos da empresa disponíveis na internet
Um banco de dados desprotegido pertencente à gigante americana de cosméticos Estée Lauder expôs mais de 440 milhões de registros da empresa, incluindo endereços de e-mail e logs de TI, de acordo com relatório de um pesquisador de segurança cibernética que descobriu o vazamento.
O banco de dados, que estava hospedado na plataforma de nuvem Azure, da Microsoft, é protegido por senha, diz Jeremiah Fowler, pesquisador de segurança da Security Discovery, fornecedora de serviços de pesquisa e consultoria. “Não está claro quanto tempo o banco de dados pode ter sido exposto ou se alguém acessou algum dos dados”, acrescenta.
Fowler descobriu o banco de dados exposto pela primeira vez em 31 de janeiro. Fowler diz que continha uma grande quantidade de dados da Estée Lauder, incluindo:
• E-mails do usuário armazenados em texto sem formatação, incluindo endereços de e-mail internos do domínio @ estee.com;
• Inúmeros logs de TI internos, incluindo produção, auditoria, erro, sistema de gerenciamento de conteúdo e relatórios de middleware;
• Referências a relatórios e outros documentos internos;
• Referências ao endereço IP, portas, caminhos e armazenamento usados na empresa.
“Que eu saiba, o banco de dados não contém dados de pagamento ou informações confidenciais de funcionários com base no que eu vi pessoalmente”, observa Fowler em um post feito na terça-feira, 11, no blog da Security Discovery.
Procurada pelo site Bankinfo Security, a Estée Lauder, com sede em Nova York, não foi encontrada para comentar. Um porta-voz da empresa, no entanto, disse à Forbes que “esta plataforma educacional não era voltada para o consumidor nem continha dados do consumidor. Não encontramos evidências de uso não autorizado dos dados temporariamente acessíveis”.
Mas Fowler diz que muitos dos endereços de e-mail que ele viu no banco de dados pareciam estar conectados a clientes e funcionários. Ele acrescenta que o comunicado da empresa enviado a ele e à Forbes, que observou que os dados estavam “temporariamente acessíveis”, também levanta preocupações de segurança.
“Consegui validar que os e-mails estavam conectados a pessoas reais”, disse Fowler ao site Information Security. “Além disso, os logs de middleware continham endereços IP e informações de dispositivos do que eu posso assumir como visitantes de seus sites, lojas ou outras áreas de sua rede. Essa é mais uma chamada de alerta para as empresas criptografarem dados — e isso inclui logs e ‘plataformas educacionais’.”
Configuração incorreta
Nos últimos anos, bancos de dados desprotegidos baseados em nuvem se transformaram em uma indústria para criminosos cibernéticos, com pesquisadores de segurança descobrindo novos exemplos todos os meses.
No início desta semana, surgiram relatos de que todo o banco de dados de registro de eleitores de Israel — incluindo cerca de 6,5 milhões de pessoas — foi exposto na internet por causa de uma falha de codificação elementar em um pedido de eleição.
Em dezembro do ano passado, mais de 4 terabytes de dados referentes a 1,2 bilhão de pessoas foram expostos na internet armazenados em um servidor Elasticsearch não seguro.
“A configuração incorreta do banco de dados geralmente é ignorada, por isso é crucial que as equipes de TI entendam seu ambiente e saibam onde os dados estão sendo armazenados, para que possam identificar facilmente quaisquer vulnerabilidades e emitir uma atualização de patch quando necessário”, diz Francis Gaffney, diretor de inteligência de ameaças na empresa de segurança Mimecast, em entrevista a Infosecurity.
Gaffney sugere que as empresas que estão usando ferramentas baseadas na nuvem adotem medidas de segurança adicionais, como testes de penetração, para ajudar a identificar e sinalizar problemas. “Você só precisa analisar organizações que sofreram violações em larga escala anteriormente para ver o impacto na reputação que elas sofreram”, diz ele.