Dow Jones confirma vazamento de mais de 2,2 milhões de contas de clientes

0
18

A UpGuard Cyber ??Risk Team descobriu que um repositório de arquivos baseado na nuvem de propriedade da Dow Jones & Company havia sido configurado para permitir acesso semi-público a pelo menos 2,2 milhões de clientes, conforme confirmado pela empresa. No entanto, a UpGuard estima de forma conservadora que o número pode chegar a quatro milhões, por análise do tamanho e composição do repositório.

Os dados expostos incluem os nomes, endereços, informações da conta, endereços de e-mail e os últimos quatro dígitos dos números de cartões de crédito de milhões de assinantes para publicações da Dow Jones, como The Wall Street Journal e Barron's. Também foram expostos os detalhes de 1,6 milhão de entradas em um conjunto de bancos de dados, conhecido como Dow Jones Risk and Compliance, um conjunto de programas de inteligência corporativa somente para inscrição, utilizados em grande parte pelas instituições financeiras para o cumprimento dos regulamentos contra o branqueamento de capitais.

"Os dados expostos neste vazamento da nuvem poderiam ser explorados por atores maliciosos empregando uma série de vetores de ataque já conhecidos por terem sido bem sucedidos no passado", disse o pesquisador da UpGuard, Dan O'Sullivan. "A aversão da Dow Jones and Company para notificar os clientes afetados desta exposição de dados nega aos consumidores a capacidade de atuar rapidamente para proteger suas próprias informações pessoais".

A UpGuard disse que o repositório de dados exposto na Amazon Web Services S3, que foi configurado através de configurações de permissão para permitir que qualquer usuário autenticado da AWS baixasse os dados através do URL do repositório. Pela própria definição da Amazon, um "usuário autenticado" é "qualquer usuário que possui uma conta Amazon AWS", uma base que já conta com mais de um milhão de usuários. O registro para tal conta é gratuito.

Este vazamento é mais de uma uma série de configurações erradas da Amazon que apresentaram dados expostos. Em junho, um "erro involuntário" da consultoria Booz Allen Hamilton (BAH) resultou em mais de 60.000 arquivos do Departamento de Defesa dos EUA sendo deixados publicamente expostos em um repositório Amazon S3.

Para John Gunn, chief marketing officer (CMO) da Vasco Data Security,  "essa notícia  da Dpw Jones – quase que corriqueira – marca a mais recente de uma série de incidentes semelhantes envolvendo a rede da Amazon Web Services (AWS), do Comitê Nacional Republicano (RNC), da WWE, do Departamento de Defesa Norte-americano e da Verizon – os últimos dois através de serviços terceirizados.

"Nós no setor de segurança passamos muito tempo falando sobre novos ataques sofisticados e sobre a melhor maneira de nos defender deles. Em contrapartida, muitas vezes é uma falta de adesão às práticas básicas de segurança que expõem as empresas ao maior risco, envolvendo configurações, gerenciamento adequado de privilégios, implementação de autenticação multifatorial, execução de testes de segurança e avaliações", destaca Gunn.

Deixe seu comentário