Empresa diz que notificou os clientes durante o ano passado e que o incidente aconteceu no último verão
Gente como você e também CEOs de tecnologia, celebridades, funcionários do governo americano e jornalistas. Esses são alguns dos exemplos das pessoas cujos registros vazaram da rede MGM Resorts, uma das principais de Las Vegas e dos Estados Unidos. São detalhes pessoais de mais de 10,6 milhões de hóspedes da rede de hotéis e cassinos, e recentemente publicados em um fórum de hackers. A informação foi levantada pelo portal ZDNet, que confirmou a autenticidade dos dados. O portal informou que o dump de dados contém nomes completos, endereços residenciais, números de telefone, e-mails e datas de nascimento dos hóspedes afetados.
Em um comunicado, a MGM Resorts disse que já notificou os clientes afetados sobre a violação no ano passado e que contratou duas empresas de perícia em segurança cibernética para investigar o incidente. Hóspedes que ficaram no resort mais recentemente podem não estar incluídos no vazamento. Mas o MGM não informou de que anos são os registros vazados.
Ao ser notificada pela ZDNet sobre a violação, a administração do MGM Resorts informou à publicação que a empresa conseguiu detectar o vazamento de dados durante uma violação de segurança que ocorreu no ano passado. A MGM disse que no verão passado descobriu uma entrada não autorizada em um servidor em nuvem que abrigava algumas informações de “certos hóspedes anteriores” de seus hotéis.
O porta-voz enfatizou que a empresa está confiante de que “nenhum dado financeiro, de pagamento ou senha estava envolvido nesse assunto”. O incidente é muito menor – em escala em comparação – com a violação de segurança do Marriott, que no ano passado expôs 500 milhões de hóspedes, incluindo 5 milhões de números de passaporte não criptografados. No entanto, como o serviço de monitoramento de violações Under the Breach informou à ZDNet, as informações vazadas são suficientes para tornar os convidados afetados um alvo de ataques phishing e fraudes baseadas no roubo do número dos seus celulares, com o atacante se apoderando do número so solicitar um chip novo. Os detalhes da violação foram adicionados ao banco de dados Have I Been Pwned.
Num comunicado para a mídia, a Check Point observa que segundo seus especialistas “muitas empresas, quando adotam a nuvem, assumem incorretamente que esse ambiente e suas informações estão protegidas porque a nuvem fornecerá essa segurança (…) O provedor de nuvem protegerá as instalações, o hardware e a rede. O usuário será o responsável por proteger seus dados e o acesso a esses dados”. O que a Check Point recomenda é que a empresa proteja o plano de dados (proteção de carga de trabalho na nuvem), para garantir que o tráfego e os arquivos que entram e saem da nuvem estejam seguros e limpos de qualquer malware. Recomenda também que os usuários defendam o plano de controle (Cloud Security Posture Management), de modo que isso protegerá a empresa de qualquer configuração incorreta, acidental ou intencional.