Exclusivo: 53 mil dados de parceiros da VR Benefícios são expostos na internet

Repositório sem proteção tinha dados pessoais de parceiros da VR Benefícios, incluindo nome, CPF, número de telefone e e-mail

Felipe Ventura
Por
• Atualizado há 2 anos e 10 meses
Cadeado sobre notebook (imagem ilustrativa por: TheDigitalWay/Pixabay)

O pesquisador de segurança Avishai Efrat revela com exclusividade ao Tecnoblog que um banco de dados ficou exposto na internet com 53 mil registros relacionados à VR Benefícios, incluindo nome completo, CPF, data de nascimento, número de telefone e endereço de e-mail. A empresa confirma que as informações pessoais eram de autônomos do Parceiro VR, não dos clientes de vale-refeição e vale-alimentação; e explica que o problema foi resolvido.

Efrat, que trabalha como especialista em cibersegurança na Wizcase, afirma ter entrado em contato com a VR Benefícios por diversos endereços de e-mail em 10 de fevereiro de 2020; ele também avisou a Amazon em 16 de fevereiro. No entanto, o banco de dados permaneceu desprotegido.

Então, em 31 de maio, o pesquisador voltou a entrar em contato com a VR Benefícios e a Amazon; desta vez; ele também alertou o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).

“Entramos em contato com a Amazon e o CERT.br para ajudar a resolver esse vazamento, depois que não recebemos resposta da empresa”, explica Efrat. Em 4 de junho, o CERT.br informou que o problema foi enfim investigado; e o pesquisador confirmou que os dados confidenciais não estão mais expostos na nuvem da Amazon.

Em comunicado ao Tecnoblog, a empresa afirma que “um fornecedor de serviços acidentalmente armazenou parte de dados cadastrais de parceiros autônomos que realizam vendas de produtos da VR em um repositório público”. A VR Benefícios foi avisada pelo CERT.br e notificou o fornecedor, “que realizou as correções necessárias e reforçou os protocolos de segurança”.

Os dados expostos estavam relacionados ao Parceiro VR, no qual representantes fazem a venda de produtos da VR Benefícios, incluindo vale-refeição e vale-alimentação. Segundo a empresa, não houve vazamento de dados de seus clientes nem falha de segurança em seus sistemas próprios.

Quais dados pessoais da VR Benefícios estavam expostos?

Os arquivos estavam em um bucket do Amazon S3, serviço de armazenamento na nuvem, sem qualquer proteção nem criptografia. Segundo o pesquisador, lá havia alguns backups com informações sobre parceiros da VR Benefícios; o mais recente deles parece ser de setembro de 2019.

VR Benefícios

Nesses arquivos, havia 53 mil registros com as seguintes informações:

  • nome completo;
  • sexo;
  • CPF;
  • CNPJ;
  • endereço de e-mail;
  • data de nascimento;
  • número de telefone;
  • sistema operacional do dispositivo móvel;
  • dados de GPS;
  • última data e hora de login.

O banco de dados tinha informações sobre sistema operacional e GPS, provavelmente coletados do aplicativo Parceiro VR disponível para Android e iOS.

“Nomes completos, e-mails e detalhes pessoais, como os vistos nesses arquivos, podem ser usados em golpes de phishing para atingir as vítimas com mais facilidade e estabelecer confiança”, diz Efrat. Os dados expostos também aumentam o risco de fraude e falsidade ideológica.

Você tem uma sugestão ou denúncia? Envie para a gente via contato@tecnoblog.net; também recebemos dicas através do e-mail tecnoblog@protonmail.com para maior segurança.

Atualizado em 15/06

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.