A Fundação Open Web Application Security Project (OWASP), focada em segurança de software, divulgou uma violação de dados depois que os currículos de alguns membros foram expostos devido a uma configuração incorreta de seu antigo servidor Wiki.
A OWASP é uma fundação sem fins lucrativos que tem dezenas de milhares de membros e mais de 250 capítulos que organizam conferências educacionais e de formação em todo o mundo.
A fundação diz que descobriu a configuração incorreta do Media Wiki no final de fevereiro, após vários pedidos de suporte. O incidente afetou apenas membros que ingressaram na OWASP entre 2006 e 2014 e forneceram currículos como parte do antigo processo de adesão.
“Os currículos continham nomes, endereços de e-mail, números de telefone, endereços físicos e outras informações de identificação pessoal”, disse o diretor executivo da OWASP, Andrew van der Stock. “A OWASP coletou currículos como parte do processo de adesão inicial, pelo qual os membros eram obrigados, no período de 2006 a 2014, a demonstrar uma conexão com a comunidade. A OWASP não coleta mais currículos como parte do processo de adesão.”
A fundação diz que enviará um e-mail aos membros afetados para notificá-los do incidente, mesmo que muitos deles não sejam mais associados e os dados pessoais expostos estejam, em muitos casos, desatualizados.
Veja isso
OWASP lança checklist para adoção segura de IA generativa
Saiu a lista OWASP Top 10 de 2021. Confira com atenção
A OWASP diz que também tomou várias medidas para resolver a violação de dados, desativando a navegação em diretórios e revisando o servidor web e a configuração do Media Wiki para outros problemas de segurança.
Para evitar acesso adicional, a fundação removeu todos os currículos do site wiki e limpou o cache da Cloudflare. Além disso, a OWASP entrou em contato com o Web Archive e solicitou que as informações expostas do currículo fossem removidas. “A OWASP já removeu suas informações da internet, portanto nenhuma ação imediata é necessária. Nada precisa ser feito se as informações em risco estiverem desatualizadas”, acrescentou van der Stock.
Os detalhes da violação de dados (em inglês) foram publicados no site da OWASP. Para acessá-lo, clique aqui.