Dados de 2,5 milhões de brasileiros são expostos em falha de rede Wi-Fi
Uma falha de configuração de armazenamento em nuvem pela empresa WSpot, de Campinas-SP, comprometeu dados de aproximadamente 2,5 milhões de pessoas, segundo revela a empresa de segurança online SafetyDetectives. A WSpot fornece solução de gerenciamento de redes WiFi e tem clientes como Sicredi, Unimed e Pizza Hut.
Foi identificada falha na configuração no Amazon S3 Bucket, deixando vulneráveis os arquivos que utilizam esse sistema de armazenamento da AWS. “A Amazon não gerencia o servidor WSpot e não é responsável por sua configuração. A Amazon fornece apenas a plataforma para armazenamento de dados responsável do WSpot, e o servidor Amazon S3 Bucket foi deixado sem nenhum procedimento de autenticação em vigor”, relata a SafetyDetectives.
Do que conseguiu identificar, a violação de dados do WSpot comprometeu mais de 226 mil arquivos, totalizando 10 GB de dados. Entre os registros desses arquivos está uma série de dados confidenciais e pessoais relativos aos clientes do WSpot e seus visitantes. Entre eles, logs de SMS e relatórios de convidados. No primeiro caso, a falha deixou vulneráveis endereços de e-mail e conteúdo de SMS, incluindo senhas de usuário que foram divulgadas por estas mensagens, que são na verdade tokens randômicos gerados por quem acessou o WiFi.
O SMS registra as credenciais da conta de vazamento. Esses registros mostram mensagens contendo detalhes de login em texto simples – informações enviadas a pessoas que estavam registrando suas contas WSpot. Além disso, planilhas de relatórios de hóspedes em formato “.csv” parecem ser logs de sites criados e mantidos por cada roteador WiFi do cliente WSpot. Os endereços apresentados nos registros são todos os endereços IP locais – isso sugere que foram coletados por roteadores em uma rede privada para identificar os dispositivos dos usuários, como indica a presença de endereços MAC nos registros.
Alguns relatórios de hóspedes apresentavam as respostas dos visitantes a perguntas personalizadas nos formulários de registro, bem como as datas de nascimento dos visitantes. Esta informação provavelmente foi coletada pelo software WSpot para criar um banco de dados de visitantes. Assim como os outros registros de relatórios de hóspedes, todos os endereços IP listados são locais e apenas conhecidos nas redes locais.
Já os relatórios de visitantes expostos revelam vários tipos diferentes de dados pessoais de visitantes: nome completo, e-mail, número de telefone, sexo, data de nascimento, endereço e CEP, além de CPF. “Uma estimativa exata do número de pessoas afetadas é difícil devido à presença de arquivos duplicados e entradas de registro. Estima-se que 2,5 milhões de cidadãos brasileiros podem ser afetados por esta violação de dados”, diz o relatório.
A falha foi identificada em 2 de setembro de 2021. O Amazon S3 Bucket desprotegido do WSpot estava ativo e sendo atualizado no momento da descoberta. A equipe de pesquisa SafetyDetectives enviou uma divulgação responsável da violação de dados para o WSpot em 7 de setembro. Uma mensagem de acompanhamento foi enviada um dia depois para a qual o WSpot respondeu, protegendo a violação em 8 de setembro de 2021.
Convergência Digital, 22 de novembro de 2021