A desenvolvedora de jogos japonesa Ateam provou que um simples erro de configuração do Google Drive pode resultar na exposição potencial, porém improvável, de informações sensíveis de quase um milhão de pessoas ao longo de seis anos e oito meses.
A empresa japonesa é uma criadora de jogos e conteúdos móveis, incluindo a Ateam Entertainment, que possui vários jogos no Google Play como War of Legions, Dark Summoner, Hatsune Miku - Tap Wonder, e ferramentas como Memory Clear | Game Boost Master e Good Night's Sleep Alarm.
No início deste mês, a Ateam informou aos usuários de seus aplicativos e serviços, funcionários e parceiros de negócios que em 21 de novembro de 2023, descobriu que tinha configurado incorretamente uma instância de armazenamento em nuvem do Google Drive para "Qualquer pessoa na internet com o link pode visualizar" desde março de 2017.
A instância do Google Drive configurada de forma insegura continha 1.369 arquivos com informações pessoais de clientes da Ateam, parceiros de negócios da Ateam, ex-funcionários e funcionários atuais, e até estagiários e pessoas que se candidataram a um cargo na empresa.
A Ateam confirmou que 935.779 indivíduos tiveram seus dados expostos, sendo 98,9% clientes.
Especificamente para a Ateam Entertainment, 735.710 pessoas foram expostas.
Os dados expostos por essa configuração incorreta variam dependendo do tipo de relacionamento que cada indivíduo tinha com a empresa e podem incluir o seguinte:
Nomes completos
Endereços de e-mail
Números de telefone
Números de gerenciamento de clientes
Números de identificação do terminal (dispositivo)
A empresa diz que não viu nenhuma evidência concreta de que agentes de ameaças tenham roubado as informações expostas, mas pede às pessoas que permaneçam atentas a comunicações não solicitadas e suspeitas.
Definir o Google Drive para "Qualquer pessoa com o link pode ver" torna-o visível apenas para aqueles com o URL exato, geralmente reservado para a colaboração entre pessoas que trabalham com dados não sensíveis.
Se um funcionário, ou outra pessoa com o link, expô-lo publicamente por engano, ele pode ser indexado por motores de busca e se tornar amplamente acessível.
Embora seja improvável que alguém tenha encontrado um URL do Google Drive exposto por conta própria, esta notificação demonstra a necessidade de as empresas garantirem a segurança adequada de seus serviços em nuvem para evitar a exposição acidental de dados.
É muito comum que atores de ameaças e pesquisadores encontrem serviços em nuvem expostos, como bancos de dados e buckets de armazenamento, e baixem os dados contidos neles.
Embora os pesquisadores geralmente divulguem de maneira responsável os dados expostos, se os atores de ameaças os encontrarem, isso pode levar a problemas maiores, pois eles usam isso para extorquir empresas ou vender para outros hackers para usar em seus próprios ataques.
Em 2017, o pesquisador de segurança Chris Vickery encontrou buckets do Amazon S3 mal configurados expondo bancos de dados contendo 1,8 bilhão de posts sociais e em fóruns feitos por usuários ao redor do mundo.
Dez dias depois, o mesmo pesquisador descobriu outro bucket do S3 mal configurado que expunha o que parecia ser informações confidenciais do INSCOM.
Embora essas violações tenham sido divulgadas de forma responsável, outras configurações incorretas de serviço em nuvem levaram à vazamento de dados ou à venda em fóruns de hackers.
Buckets do Amazon S3 mal configurados se tornaram um problema grande o suficiente para que pesquisadores tenham lançado ferramentas que verificam buckets expostos.
A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA também divulgou orientações para as empresas sobre como garantir a segurança adequada dos serviços em nuvem.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...