Problema parece estar vinculado a um aplicativo de smartphone conhecido como MCA Wizard, desenvolvido pelas fintechs Advantage Capital Funding e Argus Capital Funding
Mais de meio milhão de documentos jurídicos e financeiros altamente confidenciais vazaram online por uma empresa de empréstimos dos EUA após outro erro de configuração na nuvem da Amazon Web Services (AWS).
Pesquisadores de segurança do vpnMentor encontraram o banco de dados em um bucket S3 não seguro da AWS no final de dezembro do ano passado. O problema, segundo eles, parece estar vinculado a um aplicativo de smartphone conhecido como MCA Wizard, desenvolvido pelas fintechs Advantage Capital Funding e Argus Capital Funding, com sede em Nova York, que a vpnMentor acredita ser de propriedade da mesma empresa.
Rumores no mercado dão conta que eles fornecem “adiantamentos em dinheiro”, por meio empréstimos controversos, com juros altos, para pequenas empresas e startups. No entanto, embora a URL do banco de dados contenha as palavras “Assistente MCA”, o aplicativo não está mais disponível e a maioria dos arquivos não tem relação com o projeto. Mesmo quando os pesquisadores descobriram e tentaram entrar em contato com as empresas, sem sucesso, aparentemente novos arquivos estavam sendo carregados no banco de dados.
O pacote de 425GB continha informações altamente confidenciais do cliente, incluindo relatórios de crédito, extratos bancários, carteiras de motorista, informações do Seguro Social, declarações fiscais, cheques digitalizados, pedidos de compra e muito mais.
Com essas informações, os invasores podem lançar ataques de phishing altamente convincentes, tentar verificar e fraudar finanças, atacar empresas vítimas com malware ou até vender os dados na dark web, alerta o vpnMentor. O vazamento pode até ser investigado sob a nova Lei de Privacidade do Consumidor da Califórnia (CCPA), afirma a empresa, em comunicado a Infosecurity.
“Esse vazamento levanta sérios problemas de credibilidade e confiança para a Advantage e a Argus. Ao não garantirem suficientemente esse banco de dados e revelarem tantas informações, eles comprometeram a segurança e a privacidade de seus clientes, parceiros e clientes”, afirma o vpnMentor.
O vpnMentor observa que os afetados podem tomar medidas contra a Advantage e a Argus, deixando de fazer negócios com a empresa ou possivelmente realizando ações legais. “Ambos resultariam em considerável perda de clientes, contratos, relacionamentos comerciais e, finalmente, receita.” Sem resposta dos proprietários do banco de dados, os pesquisadores foram diretamente à AWS, que prontamente corrigiu o problema de privacidade em 9 de janeiro.