Exclusivo: 53 mil dados de parceiros da VR Benefícios são expostos na internet
Repositório sem proteção tinha dados pessoais de parceiros da VR Benefícios, incluindo nome, CPF, número de telefone e e-mail
Repositório sem proteção tinha dados pessoais de parceiros da VR Benefícios, incluindo nome, CPF, número de telefone e e-mail
O pesquisador de segurança Avishai Efrat revela com exclusividade ao Tecnoblog que um banco de dados ficou exposto na internet com 53 mil registros relacionados à VR Benefícios, incluindo nome completo, CPF, data de nascimento, número de telefone e endereço de e-mail. A empresa confirma que as informações pessoais eram de autônomos do Parceiro VR, não dos clientes de vale-refeição e vale-alimentação; e explica que o problema foi resolvido.
Efrat, que trabalha como especialista em cibersegurança na Wizcase, afirma ter entrado em contato com a VR Benefícios por diversos endereços de e-mail em 10 de fevereiro de 2020; ele também avisou a Amazon em 16 de fevereiro. No entanto, o banco de dados permaneceu desprotegido.
Então, em 31 de maio, o pesquisador voltou a entrar em contato com a VR Benefícios e a Amazon; desta vez; ele também alertou o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).
“Entramos em contato com a Amazon e o CERT.br para ajudar a resolver esse vazamento, depois que não recebemos resposta da empresa”, explica Efrat. Em 4 de junho, o CERT.br informou que o problema foi enfim investigado; e o pesquisador confirmou que os dados confidenciais não estão mais expostos na nuvem da Amazon.
Em comunicado ao Tecnoblog, a empresa afirma que “um fornecedor de serviços acidentalmente armazenou parte de dados cadastrais de parceiros autônomos que realizam vendas de produtos da VR em um repositório público”. A VR Benefícios foi avisada pelo CERT.br e notificou o fornecedor, “que realizou as correções necessárias e reforçou os protocolos de segurança”.
Os dados expostos estavam relacionados ao Parceiro VR, no qual representantes fazem a venda de produtos da VR Benefícios, incluindo vale-refeição e vale-alimentação. Segundo a empresa, não houve vazamento de dados de seus clientes nem falha de segurança em seus sistemas próprios.
Os arquivos estavam em um bucket do Amazon S3, serviço de armazenamento na nuvem, sem qualquer proteção nem criptografia. Segundo o pesquisador, lá havia alguns backups com informações sobre parceiros da VR Benefícios; o mais recente deles parece ser de setembro de 2019.
Nesses arquivos, havia 53 mil registros com as seguintes informações:
O banco de dados tinha informações sobre sistema operacional e GPS, provavelmente coletados do aplicativo Parceiro VR disponível para Android e iOS.
“Nomes completos, e-mails e detalhes pessoais, como os vistos nesses arquivos, podem ser usados em golpes de phishing para atingir as vítimas com mais facilidade e estabelecer confiança”, diz Efrat. Os dados expostos também aumentam o risco de fraude e falsidade ideológica.
Você tem uma sugestão ou denúncia? Envie para a gente via contato@tecnoblog.net; também recebemos dicas através do e-mail tecnoblog@protonmail.com para maior segurança.
Atualizado em 15/06
Leia | 9 dicas de segurança para proteger sua conta do Facebook