Hackers invadiram um site de leilões nos EUA que permite que as pessoas comprem e vendam armas, expondo as identidades de seus usuários, descobriu o TechCrunch. A violação expôs dados pessoais de mais de 550 mil usuários, incluindo nomes completos, endereços residenciais, endereços de e-mail, senhas em texto sem formatação e números de telefone. Além disso, os dados roubados permitem vincular determinada pessoa à venda ou compra de uma arma específica.
“Com esses dados é possível fazer uma listagem pública… e removê-la de volta [ao banco de dados roubado] para que o invasor tenha o nome, e-mail, endereço físico e número de telefone do [vendedor] e, presumivelmente, a localização de a arma”, disse Troy Hunt, especialista em segurança cibernética que administra o popular repositório de violação de dados e serviço de alerta Have I BeenPwned, ao TechCrunch.
No fim do ano passado, um pesquisador de segurança, que pediu anonimato, descobriu um servidor contendo os dados, que acabou sendo usado por um hacker — ou grupo de hackers — que estava usando o servidor para armazenar os dados roubados. O servidor não estava protegido por nenhum sistema para limitar ou controlar quem poderia acessá-lo, então o pesquisador baixou os dados e os analisou. O que ele encontrou foram dados retirados do site GunAuction.com, que desde 1998 permite que as pessoas leiloem armas online.
Veja isso
Armas de estado estão em uso nos ciberataques globais
179 presos em seis países por venda de drogas e armas na dark web
O CEO da GunAuction.com, Manny DelaCruz, confirmou a violação em um e-mail. “Posso confirmar que fomos recentemente contatados pelo FBI sobre a possibilidade de uma violação de dados que afetou nossa empresa”, escreveu ele no comunicado. “A violação provavelmente expôs informações pessoais de clientes, como nomes, endereços e endereços de e-mail. No entanto, queremos assegurar que não temos motivos para acreditar que qualquer informação financeira foi acessada durante a violação. Estamos aconselhando nossos clientes a permanecerem vigilantes e monitorarem suas contas financeiras e relatórios de crédito para qualquer atividade suspeita.”
Esta não é a primeira vez que dados de proprietários de armas nos EUA são expostos. No ano passado, o Departamento de Justiça da Califórnia vazou dados pessoais por engano, “incluindo nomes de proprietários de armas, aniversários, endereços, idades, data de compra e tipo de licença de arma de fogo que possuíam e seus números de Índice de Identificação Criminal, que são usados para rastrear estado e registros criminais federais”, de acordo com o Gizmodo.
