Sky expõe dados de 32 milhões e MP investiga vazamentos
De acordo com um pesquisador de segurança, base ficou exposta por pelo menos uma semana; PROTESTE tem parceria para proteção de dados
O Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou um inquérito civil público para investigar um possível vazamento de dados da TV por assinatura Sky. De acordo com o pesquisador de segurança Fábio Castro, um servidor desprotegido expôs dados de 32 milhões de assinantes.
A Sky é a segunda maior operadora de TV por assinatura do país, com quase 30% de participação de mercado. Em primeiro lugar está a Claro/NET, que tem 49% dos assinantes de TV paga do Brasil.
De acordo com o Fábio Castro, em entrevista ao Gizmodo Brasil, entre as informações disponíveis estavam endereços de e-mails, nome, data de nascimento, tipo de assinatura, número de dispositivos contratados, número de telefone e endereço residencial. Já as senhas dos clientes da Sky, apesar de também aparecerem nos arquivos, estavam criptografadas.
Clientes Sky foram expostos por pelo menos uma semana
A base de dados, segundo Fábio Castro, ficou aberta por pelo menos uma semana. Mas é possível que as informações estivessem disponíveis há ainda mais tempo. O pesquisador notificou a SKY, que protegeu servidor e a aplicação com senha, limitando a visualização das informações. Mas como não se sabe ao certo há quanto tempo o servidor estava exposto, há possibilidades de que os dados tenham vazado. E é nisso que se concentram as investigações do MPDFT.
O pesquisador afirma que o servidor armazenava registros e dados de API que pertenciam à Sky Brasil. De acordo com o especialista, foram encontrados 28,7GB de arquivos de logs e 429,1GB de dados de API.
O servidor com os dados, segundo Fábio Castro, estava indexado desde o meio de outubro no Shodan, um mecanismo de busca que permite ao usuário encontrar tipos específicos de computadores conectados à internet.
Caso parecido com o da Fiesp
O artigo do Gizmodo Brasil lembra que a falha da Sky é “muito parecida com a que aconteceu com a Fiesp”, em novembro. O servidor da companhia utilizava o Elasticsearch, um motor de busca de código aberto.
O Elasticsearch possibilita a análise de altos volumes de dados, feita praticamente em tempo real. E algumas empresas deixam o acesso a ele aberto, sem a necessidade de login e senha. Fábio Castro revelou que sua investigação foi motivada, justamente, pelo caso da Fiesp.
“A descoberta foi baseada na notícia da Fiesp. Mas esses servidores Elastic eu descobri há uns meses. Então eu já sabia onde encontrar. Em um outro relato, descobri que criminosos estavam usando o Elasticsearch para hospedar botnets, malwares e arquivos contendo malwares”, disse Castro ao Gizmodo. “Havia um servidor na Amazon rodando uma aplicação Elasticsearch desprotegida e mal configurada”, completou.
PROTESTE protege seus dados
A PROTESTE e o Google juntaram forças recentemente para ajudar o consumidor a proteger os seus dados e fazer os seus direitos valerem. Em breve, o resultado dessa parceria será público.
