Selecione o idioma

Portuguese

Down Icon

Selecione o país

America

Down Icon

Banco de dados desprotegido expõe dados de 3,6 milhões de criadores do Passion.io

Banco de dados desprotegido expõe dados de 3,6 milhões de criadores do Passion.io

Um enorme vazamento de dados colocou em risco as informações pessoais de mais de 3,6 milhões de criadores de aplicativos, influenciadores e empreendedores, revela um relatório da vpnMentor. O especialista em segurança cibernética Jeremiah Fowler descobriu um banco de dados desprotegido contendo impressionantes 12,2 terabytes de dados confidenciais, vinculados a uma plataforma de desenvolvimento de aplicativos.

O banco de dados exposto, que não era criptografado nem protegido por senha, continha 3.637.107 registros. Esses registros incluíam nomes, endereços de e-mail, endereços físicos e detalhes sobre pagamentos do que pareciam ser usuários e criadores de aplicativos.

De acordo com o relatório de Fowler, arquivos internos e o nome do banco de dados sugeriram que os dados pertenciam à Passion.io, uma empresa sediada no Texas/Delaware. A Passion.io oferece uma plataforma sem código , permitindo que pessoas como criadores, coaches e celebridades criem seus próprios aplicativos móveis sem a necessidade de habilidades técnicas. Esses aplicativos permitem que os usuários ofereçam cursos interativos e ganhem dinheiro por meio de assinaturas ou compras únicas.

As informações expostas, incluindo informações de identificação pessoal (PII), como nomes, endereços e até imagens, apresentam riscos significativos. Fowler alerta que esses dados podem ser usados ​​por criminosos para "ataques de phishing ou engenharia social", que são um ponto de partida comum para crimes cibernéticos. Endereços de e-mail e históricos de compras vazados podem ser usados ​​para induzir indivíduos a revelar mais detalhes pessoais ou financeiros, fingindo ser uma empresa confiável.

Além disso, a exposição de imagens de perfis de usuários , algumas das quais incluem crianças, levanta sérias preocupações com a privacidade. Essas imagens podem ser usadas indevidamente para fins de falsificação de identidade, criação de contas falsas ou outros golpes online.

Fonte: vpnMentor

O pesquisador observou que até mesmo imagens aparentemente inofensivas poderiam ser "potencialmente transformadas em armas ou usadas para fins antiéticos". Além de dados pessoais, o banco de dados também continha arquivos de vídeo e documentos PDF que pareciam ser conteúdo premium vendido pelos criadores do aplicativo, juntamente com registros financeiros internos, o que poderia prejudicar a receita dos criadores e dar aos concorrentes informações sobre as operações da empresa.

Ao descobrir o vazamento, Fowler informou prontamente a Passion.io. A empresa agiu rapidamente, restringindo o acesso público ao banco de dados no mesmo dia. A Passion.io reconheceu a descoberta, afirmando que seu "Diretor de Privacidade e equipe técnica estão trabalhando para corrigir o problema, garantindo que isso não aconteça novamente".

No entanto, se a sua empresa processa dados, aqui estão 5 etapas essenciais a serem seguidas para evitar configurações incorretas no banco de dados e vazamentos de dados como o que afetou o Passion.io. Vale ressaltar que as etapas a seguir não garantem a perfeição, mas reduzem a chance de deixar um banco de dados exposto e vazar dados do usuário:

  • Implemente autenticação multifator para acesso administrativo.
  • Use o acesso baseado em funções para limitar quem pode visualizar ou modificar dados confidenciais.
  • Nunca deixe um banco de dados exposto sem uma senha ou controle de acesso.
  • Use protocolos de criptografia fortes e gerencie chaves com segurança.
  • Garanta que todos os dados confidenciais estejam criptografados tanto no disco quanto durante a transferência.
  • Configure alertas para exposição pública ou padrões de acesso incomuns.
  • Use ferramentas de segurança em nuvem ou scanners de configuração (por exemplo, AWS Config, GCP Security Command Center) para detectar configurações incorretas em tempo real.
  • Teste não apenas seu aplicativo, mas também suas camadas de armazenamento e banco de dados.
  • Execute avaliações de vulnerabilidade de rotina e testes de penetração em sua infraestrutura.
  • Mantenha a documentação atualizada e aplique políticas durante o desenvolvimento.
  • Certifique-se de que todos os membros da equipe que lidam com infraestrutura saibam como proteger bancos de dados em nuvem, gerenciar permissões e identificar configurações arriscadas.
HackRead

HackRead

Notícias semelhantes

Todas as notícias
Animated ArrowAnimated ArrowAnimated Arrow

Nosso site usa cookies dentro do escopo do KVKK e GDPR para melhorar sua experiência. Para informações detalhadas Clique aqui. Ao utilizar nosso site, você aceita cookies.