A Federação das Indústrias do Estado de São Paulo (FIESP) expôs os dados de cerca de 34 milhões de pessoas, de acordo com o pesquisador de segurança Bob Diachenko. Os dados foram encontrados em uma base de dados Elasticsearch com 180.104.892 registros que deixavam acessíveis informações como nome completo, número de RG, número de identificação CPF, gênero, data de nascimento, endereço completo, email e número telefônico.
Nós relatamos anteriormente que a falta de autenticação permitia a instalação de malware ou ransomware nos servidores Elasticsearch
“No dia 12 de novembro, ao auditar os resultados de pesquisa das bases de dados Elasticsearch abertas / expostas com a plataforma Binaryedge.io, encontramos o que parecia ser uma coleção de registros pessoais compilados pela FIESP, a Federação das Indústrias do Estado de São Paulo”, escreveu Diachenko. “A FIESP é a maior entidade de classe da indústria brasileira. Representa cerca de 130 mil indústrias em diversos setores, de todos os portes e diferentes cadeias produtivas, distribuídas em 131 sindicatos patronais”.
A FIESP reúne 52 unidades representativas no estado de São Paulo, que representam 133 sindicatos patronais e 130 mil indústrias. Após contato do pesquisador e do pessoal do Cibersecurity.net, a FIESP corrigiu a falha que deixa os dados abertos. Em números completos, a base expôs 34.817.273 pessoas.
“Nós relatamos anteriormente que a falta de autenticação permitia a instalação de malware ou ransomware nos servidores Elasticsearch. A configuração pública permite a possibilidade de cibercriminosos gerenciarem todo o sistema com privilégios administrativos completos. Uma vez que o malware esteja no local, os criminosos podem acessar remotamente os recursos do servidor e até iniciar uma execução de código para roubar ou destruir completamente quaisquer dados salvos contidos no servidor”, comentou Diachenko sobre a Elasticsearch.
Imagem da base
- Em breve, atualizaremos esta notícia com um posicionamento da FIESP
Fontes
Categorias