Plataforma de fidelidade sul-coreana não segura e não criptografada expõe dados de mais de 1 milhão de clientes

Os registros do Dodo Point expam mais de um milhão de registros de clientes online. Os dados eram armazenados em um bucket não criptografado que podia ser ado sem nenhum tipo de autenticação.

De acordo com a equipe de segurança do Website Planet, um incidente recente afetou a plataforma de serviço de pontos de fidelidade Dodo Point e resultou em uma enorme exposição de dados pessoais.

O Dodo Point é operado pela Yanolja Cloud na Coreia do Sul. O serviço é baseado nos números de telefone dos usuários. Os clientes inserem seus números de telefone em restaurantes ou lojas por meio de um tablet (Figura A) e são então creditados com suas recompensas.

Figura A

Um bucket da Amazon usado pela empresa não estava protegido: nenhum protocolo de autenticação foi implantado e nenhuma criptografia de dados foi usada no armazenamento, resultando na exposição de cerca de 73.000 arquivos, representando mais de 38 GB de dados.

A Amazon não se responsabiliza pela configuração incorreta do bucket do Dodo Point, pois a segurança de um bucket é de responsabilidade do cliente Amazon.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

A investigação com base no número de registros de clientes expostos em arquivos do Excel e na contabilização de entradas duplicadas levou os pesquisadores a estimar que pelo menos um milhão de registros de clientes vazaram na violação.

De acordo com o site da empresa, grandes marcas multinacionais, incluindo Nike e Marriott, usam o Dodo Point.

A exposição contém os nomes dos usuários, datas de nascimento, sexo, números de telefone, endereços de e-mail, lojas visitadas e possivelmente mais (Figura B).

Figura B

Menos de 1.000 detalhes de transferência bancária e débito direto também foram encontrados no banco de dados. Todos esses dados podem permitir que qualquer pessoa faça perfis sobre os hábitos de usuários específicos.

Relatórios de incidentes ineficientes

Os pesquisadores que encontraram os dados violados tentaram primeiro entrar em contato com a Spoqa, uma empresa à qual a Dodo Point pertencia no momento da descoberta dos dados. Depois de não receberem resposta, eles entraram em contato com a Equipe Coreana de Resposta a Emergências de Computadores. Mais uma vez, não obtiveram resposta. Os pesquisadores tentaram alcançar novos contatos na Spoqa ao mesmo tempo em que divulgavam o incidente à Amazon Web Services, nenhum dos quais respondeu.

Finalmente, Yanolja tornou-se o novo proprietário do Dodo Point e pôde ser alcançado. A empresa respondeu prontamente aos pesquisadores e, dois dias depois, o balde da Amazon foi garantido.

Embora a mudança de propriedade da Dodo Point provavelmente tenha dificultado as coisas, os incidentes de segurança do computador devem sempre ser tratados, independentemente do contexto.

Exposições semelhantes online

Os pesquisadores do Website Planet executam um extenso projeto de mapeamento da web. Como parte deste projeto, eles usam scanners da web para identificar armazenamentos de dados não seguros na Internet antes de analisar e relatar esses armazenamentos às empresas afetadas para protegê-los e aumentar a conscientização sobre os perigos de tais exposições.

Recentemente, a TechRepublic escreveu sobre milhares de bancos de dados Elasticsearch inseguros e expostos sendo mantidos para resgate.

Em 2017, 27.000 servidores MongoDB foram atingidos por um ataque semelhante. Em 2018, um banco de dados não seguro pertencente a uma empresa de e-marketing expôs 11 milhões de registros.

Essas exposições são bastante frequentes e não é difícil para um invasor usar ferramentas de verificação online para caçar esses bancos de dados e descobrir dados expostos que não são criptografados ou protegidos por nenhum processo de autenticação.

Essas exposições de dados podem levar à exploração de dados pessoais para crimes cibernéticos: um invasor pode se ar por um indivíduo ou usar suas informações para atingi-lo com truques específicos de phishing ou engenharia social. Alguns agentes de ameaças também podem coletar informações que podem ser usadas para fins de ciberespionagem.

Como melhorar a velocidade dos relatórios de incidentes

O caso aqui exposto mostra mais uma vez que o tratamento de incidentes só pode ser eficiente quando os pesquisadores conseguem alcançar imediatamente as pessoas apropriadas em uma empresa. Com as pessoas mudando de emprego, pode ser difícil alcançar um indivíduo quando necessário, mas existem soluções.

O uso de um endereço de e-mail dedicado para problemas de segurança pode ser a melhor solução. Em abril de 2022, a Força-Tarefa de Engenharia da Internet publicou sua RFC 9116, que incentiva as empresas a usar um arquivo chamado security.txt que seria armazenado em texto não criptografado e ível pela World Wide Web para qualquer pessoa na raiz de cada site ou em uma pasta chamada .well-known.

Google, Meta e GitHub já usam esse arquivo para fornecer contatos de segurança para qualquer pesquisador que queira contatá-los para relatar um problema de segurança. O site security.txt oferece ajuda às empresas para gerar seu arquivo security.txt e fornece mais informações sobre o projeto.

Como se proteger de tal ameaça

As empresas nunca devem expor bancos de dados à Internet se não for estritamente necessário. Se for necessário, mecanismos de autenticação seguros, como autenticação multifator, devem ser implantados.

Os controles de o baseados em função devem ser definidos e os privilégios apropriados atribuídos a cada usuário. Os dados armazenados em tais bancos de dados devem ser criptografados para que, mesmo que um invasor consiga ar os dados, eles possam ser inúteis para eles.