Servidor com dados da empresa de impostos Rockerbox expôs 286 GB de registros

Uma exposição de dados veio à tona na Rockerbox, uma consultoria de crédito tributário sediada no Texas, EUA. O pesquisador de segurança cibernética Jeremiah Fowler descobriu recentemente um banco de dados sem proteção por senha, o que demonstra uma falha significativa de segurança. As descobertas foram relatadas pela vpnMentor e compartilhadas com o HackRead.com.

A Rockerbox, identificada como uma empresa de consultoria de crédito tributário, ajuda empresas nos Estados Unidos a identificar e gerenciar incentivos fiscais focados no empregador por meio de programas como o Crédito Tributário de Oportunidade de Trabalho (WOTC), Crédito Tributário de Retenção de Funcionários (ERTC), créditos de P&D e créditos da Zona de Capacitação.

A exposição envolveu um número alarmante de 245.949 registros, totalizando 286,9 GB de dados. Esse extenso conjunto de dados incluía diversas formas de informações de identificação pessoal (PII), incluindo nomes completos, datas de nascimento (DOB), números de Seguro Social (SSN) e endereços físicos.

Para sua informação, PII são informações que podem identificar um indivíduo, direta ou indiretamente, enquanto SSN é um identificador exclusivo de nove dígitos usado para rastrear ganhos e para vários propósitos governamentais nos EUA.

De acordo com o relatório de Fowler, os registros expostos também continham documentos de identificação confidenciais, como carteiras de motorista e formulários DD214, que são Certificados de Liberação ou Dispensa do Serviço Ativo emitidos pelo Departamento de Defesa dos EUA, servindo como documentação oficial do serviço militar de um veterano.

Além disso, uma ampla gama de materiais relacionados a empregos e impostos foi comprometida. Isso incluía solicitações de programas de crédito tributário, além de cartas oficiais de aceitação ou recusa, muitas vezes contendo detalhes financeiros e pessoais complexos. Embora alguns arquivos tenham sido bloqueados, muitos documentos estavam prontamente disponíveis para qualquer pessoa com acesso à internet.

Até mesmo certos arquivos PDF protegidos por senha tiveram seus nomes expostos, revelando informações de identificação pessoal (PII), como nomes de empregadores e candidatos. Fowler destacou o risco teórico de que partes numéricas desses nomes de arquivos pudessem conter senhas, desaconselhando a incorporação desses dados.

A Rockerbox, conhecida por auxiliar empresas nos EUA com incentivos fiscais em setores como restaurantes e hotelaria, saúde, manufatura, processamento de alimentos e comércio especializado, agora enfrenta escrutínio quanto ao seu manuseio de dados. A ampla exposição cria um potencial significativo para ataques de phishing direcionados, roubo de identidade e fraude financeira , já que agentes mal-intencionados podem se aproveitar desse vasto acervo de informações pessoais e financeiras para obter ganhos ilícitos.

Fowler notificou imediatamente a Rockerbox, e o banco de dados foi posteriormente protegido e restringido ao acesso público vários dias depois. No entanto, não recebemos nenhuma resposta à sua notificação de divulgação responsável. Além disso, ainda não se sabe se o banco de dados era gerenciado diretamente pela Rockerbox ou por um terceiro contratado, por quanto tempo ficou exposto antes de ser descoberto ou se outras partes não autorizadas obtiveram acesso.

“Para empresas e organizações que coletam e armazenam dados pessoais potencialmente sensíveis em repositórios de armazenamento em nuvem, é importante implementar medidas de segurança adequadas para proteger essas informações. Isso começa com controles de acesso e a limitação de quem (dentro e fora da organização) pode ver e manipular quais informações”, concluiu Fowler.