A empresa de TV por assinatura SKY deixou informações de 32 milhões de clientes expostas em uma base de dados que poderia ser acessada facilmente por qualquer um. A descoberta foi feita na semana passada pelo pesquisador de segurança Fábio Castro.
O Gizmodo Brasil conversou com Castro, que disse que, entre as informações disponíveis, estavam endereços de e-mails, nome, data de nascimento, tipo de assinatura, número de dispositivos contratados, número de telefone e endereço residencial. Senhas também apareciam nos arquivos, mas estavam criptografadas.
O pesquisador diz que o servidor armazenava registros e dados de API que pertenciam à SKY Brasil. Foram encontrados 28,7GB de arquivos de logs e 429,1GB de dados de API.
A base de dados ficou aberta por pelo menos uma semana. É possível, no entanto, que as informações estivessem disponíveis há muito mais tampo; Castro diz que o servidor com os dados estava indexado no Shodan – um mecanismo de busca que permite ao usuário encontrar tipos específicos de computadores conectados à internet – desde o meio de outubro.
A falha da Sky é muito parecida com a que aconteceu com a FIESP no mês passado. O servidor da companhia utilizava o Elasticsearch, um motor de busca de código aberto que permite a análise de grandes volumes de dados quase em tempo real. Algumas empresas deixam o acesso ao Elasticsearch aberto, sem a necessidade de login e senha.
A investigação do pesquisador foi motivada justamente pelo caso FIESP. “A descoberta foi baseada na notícia da FIESP, mas, esses servidores Elastic, eu descobri há uns meses, então eu já sabia onde encontrar. Em um outro relato, descobri que criminosos estavam usando o Elasticsearch para hospedar botnets, malwares e arquivos contendo malwares”, explica.
Neste caso, “havia um servidor na Amazon rodando uma aplicação Elasticsearch desprotegida e mal configurada”, segundo Castro.
O pesquisador notificou a SKY, que não o respondeu até o momento. Porém, nesta segunda-feira (3), a companhia protegeu servidor e aplicação com senha, limitando a visualização das informações.
O Gizmodo Brasil também entrou em contato com a assessoria de imprensa da SKY e irá atualizar essa publicação caso tenha retorno.
Caso a Lei Geral de Proteção de Dados Pessoais estivesse em vigor, a SKY teria que notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre o vazamento. A lei, no entanto, só começa a valer em 2020.
Dependendo de quanto tempo as informações ficaram disponíveis, é possível que atores maliciosos tenham armazenado os dados dos assinantes da SKY. Apesar de conter senhas criptografadas, as informações podem ser utilizadas para a aplicação de golpes de phishing sofisticados, uma vez que os atacantes possuem dados importantes como nome, e-mail, endereço completo, número de telefone e data de nascimento.
Castro nos disse que chegou a encontrar expostas informações de pessoas ligadas ao governo.