A multinacional de serviços de segurança e investigação Securitas AB, com sede na Suécia, expôs dados confidenciais de funcionários em vários aeroportos diferentes na América Latina. De acordo com pesquisadores da SafetyDetectives, a empresa expôs 3 terabytes de dados contendo mais de 1,5 milhão de arquivos, graças a um de seus buckets de armazenamento S3 da Amazon mal configurados. A configuração incorreta não é responsabilidade da AWS nem tampouco a violação.
O bucket continha também aplicativos móveis Android que são usados pelo pessoal de segurança para ajudar em várias tarefas, como relatórios de incidentes. Embora a presença desses aplicativos não exponha formas específicas de dados confidenciais, eles podem ser usados para ajudar em atividades criminosas.
Segundo a SafetyDetectives, o banco de dados foi deixado exposto ao acesso público sem nenhuma senha ou autenticação de segurança, o que significa que qualquer pessoa com conhecimento sobre como encontrar bancos de dados mal configurados poderia ter acessado os dados. A empresa diz que o bucket estava ativo e sendo atualizado no momento da descoberta.
No entanto, devido ao enorme tamanho do banco de dados, era fisicamente impossível varrer todo ele. A análise da equipe de pesquisadores revelou que entre os dados expostos estão registros confidenciais de empresas e informações pessoais de funcionários de aeroportos na Colômbia, Peru e provavelmente em outros países “ou mesmo no restante do mundo”.
A lista de aeroportos afetados revelada pela SafetyDetectives inclui o Aeroporto Internacional Jorge Chávez, em Lima, no Peru, Aeroporto Internacional El Dorado, em Bogotá, na Colômbia, Aeroporto Internacional Alfonso Bonilla Aragón, em Valle del Cauca, e Aeroporto Internacional José María Córdova, Antioquia, ambos também na Colômbia.
Veja isso
324 câmeras expostas no aeroporto de Guarulhos
Aeroportos são os que mais investirão em cibersegurança até 2030
De acordo com uma postagem no blog da empresa publicada pela SafetyDetectives, os pesquisadores identificaram dois conjuntos de dados que continham registros de funcionários do aeroporto e da Securitas. Estes incluíam fotos de carteiras de identidade, fotos de funcionários carregando e descarregando bagagens, foto do cartão de identificação que exibia informações pessoais de funcionários, como nome completo, ocupação, fotos de aviões, coordenadas e mapas GPS, entre outras.
Segundo a SafetyDetectives, considerando a forte presença da Securitas em toda a Colômbia e na América Latina, empresas de outros setores podem ter sido expostas. Também é provável que vários outros locais que utilizam os serviços de segurança da Securitas sejam afetados. A empresa de cibersegurança diz que natureza dos dados expostos pode representar uma séria ameaça para aeroportos, companhias aéreas, passageiros e funcionários caso um cibercriminoso ou uma pessoa mal-intencionada tenha acessado o conteúdo do bucket enquanto ele ainda estava desprotegido.
Os serviços da Securitas abrangem quatro áreas principais: vigilância no local, vigilância eletrônica, contra incêndio e segurança e gestão de riscos corporativos. A empresa fornece uma gama de produtos específicos para atender a essas necessidades, incluindo equipe de segurança treinada, vigilância por vídeo, patrulhamento de alarmes, controle de acesso eletrônico, gerenciamento de riscos de incêndio e segurança e gerenciamento de riscos da cadeia de suprimentos. Ela trabalha com empresas de praticamente todos os setores, da construção ao varejo, marítimo e até residencial. Na indústria da aviação, a Securitas oferece soluções especializadas, como triagem de bagagem.
Veja o relatório completo, em inglês, em: www.safetydetectives.com/news/securitas-leak-report/
