Dados pessoais de centenas de milhares de clientes da rede varejista argentina Hendel Hogar, que possui lojas em 31 cidades da província de Buenos Aires, foram expostos na internet. De acordo com seu site, a empresa vende eletrodomésticos, computadores, utensílios domésticos, ferramentas, brinquedos, piscinas, capas de camping, entre outros produtos.
O banco de dados não protegido, com nomes e informações pessoais de clientes, foi descoberto pelo pesquisador de segurança Jeremiah Fowler, juntamente com a equipe de pesquisa do WebsitePlanet. Segundo o pesquisador, quase 1 milhão de registros — que pareciam ser únicos — foram expostos publicamente a qualquer pessoa com conexão à internet. Uma pasta chamada “cliente” continha 605 mil registros e outra, denominada “conta de crédito”, tinha 280 mil registros.
Este é um dos maiores vazamentos de dados de informações de clientes, com nomes e números de identificação nacional (DNI) e dados financeiros em texto simples e não criptografados, já registrados. O DNI (ou Documento de Identidade Nacional) é o principal documento dos cidadãos argentinos, bem como de estrangeiros residentes no país, temporários ou permanentes, e é exigido para votação, pagamentos, alistamento no serviço militar e outras formalidades.
Ao constatar o vazamento, Fowler e o WebsitePlanet imediatamente enviaram comunicado à empresa e o acesso público foi fechado no mesmo dia. Não está claro por quanto tempo o banco de dados ficou exposto ou quem pode ter acessado. De acordo com a página da Hendel Hogar no Facebook “há mais de 50 anos, nossos clientes confiam em nós para acessar os produtos de que precisam, e facilitamos isso concedendo crédito pessoal através do cartão Hendel”.
Caso hackers tenham acessado o banco de dados, os clientes podem ser alvo de golpes de engenharia social, roubo de identidade ou até mesmo um ataque de ransomware. Os arquivos também mostravam onde os dados eram armazenados e como a rede de registro opera no back-end.
Veja isso
Os vazamento de dados e suas consequências
McDonald’s Brasil enfrenta vazamento de dados
Segundo os pesquisadores, os registros que descobriram continham apenas o número e não digitalizações completas ou imagens dos documentos ou das pessoas. O ID da conta de crédito, por exemplo, parecia ser um número de rastreamento de pagamentos e recebimentos de usuários, usando o número interno e não o DNI. As informações de identificação pessoal mais confidenciais estariam na conta do cliente. Esses números estavam em ordem cronológica de 000001 – 283.000 e marcados como contas habilitadas ou ativas.
De todo modo, os nomes dos clientes e o DNI expostos podem ser usados por cibercriminosos para cometer fraudes. Os consumidores podem ser identificados usando pesquisas de registros de código aberto que mostram onde trabalham e outras informações que podem ser usadas para cometer roubo de identidade e fraudes. As formas mais comuns de fraudes, de acordo com os pesquisadores, seriam a contratação de empréstimos pelos criminosos em seu nome ou a solicitação documentos falsos para cometer uma ampla gama de roubos e golpes.
A Argentina já sofreu vários incidentes de grande escala nos últimos anos. Em 2020, a maior empresa de telefonia argentina, a Telecom, foi hackeada e seus dados foram criptografados com ransomware. Os hackers pediram um resgate de US$ 7,5 milhões. Vários meses depois, a agência de imigração da Argentina, a Dirección Nacional de Migraciones, foi vítima de um ataque de ransomware que fechou temporariamente as fronteiras do país.
Veja o relatório completo em: https://www.websiteplanet.com/blog/hendel-breach-report/
