Banco da Fiesp com 180 milhões de registros exposto na intenet

A Fiesp, principal entidade industrial do país, esteve com um dos seus grandes bancos de dados exposto na Internet. A descoberta foi feita pelo pesquisador de segurança Bob Diachenko no dia 12 de Novembro. Depois da descoberta, Diachenko tentou entrar em contato com a Fiesp mas suas mensagens de e-Mail não foram respondidas. No dia 14 ele entrou em contato comigo pelo Twitter e pediu ajuda para o contato. Entrei em contato por telefone com a assessoria de imprensa e relatei o problema. A seguir, enviei à assessoria um e-Mail com cópia para Diachenko, documentando a conversa por telefone e indicando a necessidade de que o departamento de TI entrasse em contato com ele para resolver o problema.

No dia seguinte, Diachenko disse que ninguém havia entrado em contato com ele. Liguei novamente para a assessoria de imprensa para informar que o banco de dados continuava exposto e no mesmo dia, segundo o pesquisador, o problema foi resolvido. De todo modo, ele não recebeu qualquer comunicação do departamento de TI ou da assessoria de imprensa sobre o assunto. Hoje, Diachenko publicou um artigo sobre o assunto no Linkedin. Leia a tradução abaixo.

“O Brasil sempre foi um daqueles países onde as questões de segurança cibernética são difíceis de informar. Em setembro eu já relatei um grande vazamento num sistema brasileiro de reservas online que afetou quase 500.000 pessoas. A empresa por trás da exposição era realmente difícil de identificar e entrar em contato, mas depois de alguns dias o banco de dados ficou seguro principalmente devido ao apoio de meus seguidores no Twitter.

No dia 12 de novembro, encontrei o que parecia ser uma coleção de registros de pessoas compilados pela FIESP, a Federação das Indústrias do Estado de São Paulo. A FIESP é a maior entidade de classe da indústria brasileira. Representa cerca de 130 mil indústrias em diversos setores, de todos os portes e diferentes cadeias produtivas, distribuídas em 131 sindicatos patronais.

Os dados estavam disponíveis em um banco de dados aberto e não criptografado do Elasticsearch, de modo que qualquer pessoa na Internet podia ver e acessar os arquivos. Veja abaixo os instantâneos tirados do mecanismo de busca BinaryEdge.io.

A contagem total de registros foi de quase 180 milhões.

Pelo menos três índices que analisei continham informações pessoais de cidadãos brasileiros. A maior coleção de dados tinha informações expostas de 34.817.273 pessoas. Informações como:

Enviei imediatamente notificações para os contatos do site da FIESP, mas nunca recebi nenhuma resposta. O banco de dados foi colocado off-line somente depois que meu seguidor brasileiro Paulo Brito conseguiu entrar em contato com um representante da FIESP pelo telefone e informá-lo sobre a exposição de dados.

Este artigo será atualizado se / quando recebermos informações da FIESP a respeito das medidas tomadas para proteger esses dados confidenciais.

Uma pequena olhada no cenário brasileiro de segurança cibernética com a ajuda do mecanismo de verificação Binaryedge.io mostra 265 instâncias Elasticsearch abertas / expostas, 541 MongoDBs desprotegidos, 168 Redis e 6.738 compartilhamentos SMB abertos.”

 

Powered by WordPress. Designed by Woo Themes