SoftwareProjects expõe dados substanciais de clientes e afiliados

Início / Tecnologia da Informação / SoftwareProjects expõe dados substanciais de clientes e afiliados

A plataforma de vendas de afiliados SoftwareProjects teve quase 200 GB de dados de clientes e afiliados expostos publicamente antes de serem descobertos e relatados pelo pesquisador de segurança cibernética Jeremiah Fowler. O banco de dados exposto continha 257.562 registros com imagens de cartões de crédito, documentos de identificação, informações de identificação pessoal e outras informações potencialmente sensíveis.

“Havia milhares de documentos que divulgavam informações de identificação pessoal (PII) de clientes e afiliados”, disse Fowler em uma postagem de blog. “O banco de dados foi marcado como CDN, que normalmente significa rede de distribuição de conteúdo ou rede de distribuição de conteúdo.” CDN é onde documentos e arquivos são armazenados para acelerar o tempo de carregamento de um aplicativo, site ou outras ferramentas baseadas na web com muitos dados, de acordo com Fowler.

Dados críticos de clientes e afiliados expostos

O banco de dados não protegido por senha tinha duas pastas contendo documentos de verificação de clientes e afiliados respectivamente, juntamente com alguns documentos internos. “Vi muitos documentos internos, como faturas, reembolsos, pagamentos de afiliados, dados de vendas e contábeis e muito mais”, disse Fowler. “A descoberta mais preocupante que vi foram aproximadamente 18.000 arquivos de verificação de pedidos que incluíam imagens de documentos de identificação pessoal, fotos de indivíduos portando documentos de identificação e cartões de crédito de clientes em todo o mundo.”

Depois de fazer a descoberta, Fowler enviou um aviso de divulgação à SoftwareProjects e foi agradecido e informado de que o problema de acesso aos diretórios foi posteriormente resolvido com a remoção de todos os dados PII dos depósitos públicos. No entanto, ele descobriu que o banco de dados ainda estava acessível por algum tempo antes de ser restringido.

“Em uma pasta separada, havia documentos de verificação para afiliados”, acrescentou Fowler. “Esses registros de afiliados podem ser potencialmente mais confidenciais do que os registros de clientes porque os cibercriminosos estariam cientes de que esses indivíduos estão envolvidos em atividades comerciais e poderiam ser alvos potencialmente mais valiosos para roubo ou fraude.”

Além disso, o banco de dados continha uma série de outros arquivos e documentos dentro do banco de dados, incluindo faturas com PII do cliente, documentos de reembolso, registros de transferência bancária e arquivos .csv de relatórios de ganhos que mostravam números de contas de afiliados da ABA.

Os riscos incluem phishing, roubo de identidade e injeção de malware

Não se sabe por quanto tempo os dados foram expostos ou se alguma vez foram acessados. Contas bancárias e números de roteamento expostos poderiam permitir que criminosos tentassem pagamentos de contas ou transferências de dinheiro não autorizados, de acordo com Fowler.

O banco de dados também consistia em muitos arquivos de programação internos necessários para a funcionalidade do site ou do aplicativo. “Arquivos JavaScript (.js) expostos em uma violação de dados apresentam riscos potenciais e inúmeras vulnerabilidades de segurança”, disse Fowler. “Se atores mal-intencionados tiverem acesso a esses arquivos de código, eles poderão identificar vulnerabilidades e explorá-las. O maior risco potencial é que os invasores possam injetar scripts maliciosos ou lançar ataques como cross-site scripting (XSS) ou cross-site request forgery (CSRF).”

Como os dados continham informações como nomes completos, endereços, datas de nascimento e números de licença, também é possível que os invasores os utilizem para potencial roubo de identidade, fraude ou envolvimento em outras atividades ilegais.

Fowler aconselha clientes ou afiliados suspeitos a monitorar contas de crédito e débito para autorização adequada, solicitar novos cartões bancários e números de contas e considerar um serviço de proteção contra roubo de identidade. “Não estou insinuando qualquer irregularidade por parte da SoftwareProjects ou de quaisquer afiliadas, nem afirmo que clientes ou afiliadas alguma vez estiveram em risco”, disse Fowler. “Estou apenas relatando os fatos de minhas descobertas e os riscos reais desse tipo de exposição.”

Leitura relacionada:

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.