Cerca de 32 milhões de registros de dados de clientes da Sky Brasil estavam supostamente acessíveis para invasores em servidores Elasticsearch abertos e não criptografados. Apenas um dos servidores expostos da Sky possuía um arquivo de registros com 430 gigabytes. Entre os dados de clientes expostos, estavam: nome completo, endereço residencial, plano de assinatura, número telefônico, código postal, data de pagamento da fatura, método de pagamento, número do smart card, senhas criptografadas em Blowfish e outros detalhes que abrem margem para diferentes golpes e fraudes.
O total de dados são de aproximadamente 32 milhões de registros
A Sky é uma empresa de telecomunicações brasileira que oferece televisão por assinatura via satélite e internet banda larga 4G. No mercado, concorre com Net, Vivo, Claro, GVT e outras.
A denúncia foi realizada pelo pesquisador de segurança independente Fábio Castro, que notou a similaridade do caso com o da FIESP, que aconteceu na semana passada, no qual também foram encontrados dados expostos em um servidor Elasticsearch.
“Eu encontrei [o servidor exposto] utilizando mecanismo de busca avançada do Shodan”, explicou Castro ao TecMundo. “Encontrei muitos servidores brasileiros rodando servidores Elasticsearch e que estavam expondo dados sensíveis. Encontrei um servidor com um Cluster chamado ‘digital-logs-prd' e com um simples comando você pode listar todos os índices”.
Dados de cliente Sky
O pesquisador deixou claro que não foi necessário qualquer tipo de ataque hacker para acessar os dados, já que eles estavam expostos sem qualquer forma de autenticação. “E com um outro comando é possível ver esses dados em formato JSON, estou recuperando 100 resultados do índice digitalapi onde estão os dados. O total de dados são de aproximadamente 32 milhões. É possível encontrar e-mails, endereços, senhas (estão criptografadas em Blowfish), telefones, o tipo de dispositivo que o cliente está usando ou contratou o plano (pacote que ele contratou), versão do equipamento e a quantidade. Também, uma coisa interessante, é possível ver os IPs que o cliente acessou a Sky”, adiciona Castro.
- O pesquisador, ironicamente, ainda enviou ao TecMundo imagens com os próprios dados encontrados no servidor, já que também é cliente da Sky Brasil e sofreu com a exposição
O TecMundo entrou em contato com a Sky na última sexta-feira (23) para a correção do problema e posicionamento sobre o caso. A correção do banco exposto foi realizada na terça-feira (27), mas a Sky não teve tempo para enviar um posicionamento até o final desta reportagem.
Bancos
O cibercrime e os dados
Dados como esses citados podem até parecer inofensivos para algumas pessoas, porém, um banco de dados deste tamanho exposto é um banquete para um cibercriminoso. Entre as possibilidades de uso, estão a engenharia social e o phishing.
Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros
Segundo Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
Shodan
Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
O Brasil é o país que mais sofre com ataques de phishing no mundo
Caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
Este último cenário é o mais perigoso — e possível: o Brasil é o país que mais sofre com ataques de phishing no mundo. Segundo a Kaspersky, 30% dos internautas brasileiros sofreram ao menos uma tentativa de golpe em 2017 — 2018 ainda não acabou, mas o índice estava em 23% em agosto.
Dados expostos
Para acompanhar mais notícias sobre cibersegurança, acompanhe a nossa página dedicada aqui no TecMundo.
Como fazer denúncias ao TecMundo
- Nossos canais são: denuncia@tecmundo.com.br ou felipepayao@protonmail.com
Categorias