Os dados expostos, armazenados em um bucket de um popular provedor de serviços de nuvem, contêm quase três milhões de arquivos, consistindo principalmente em documentos de Conheça Seu Cliente (KYC). Esses documentos são cruciais para verificar a identidade dos usuários e cumprir as regulamentações contra lavagem de dinheiro.
O vazamento, foi atribuído à empresa mexicana Miio. A empresa oferece serviços financeiros e planos de telefonia móvel de baixo custo – o que explica a necessidade de armazenar documentos KYC.
Segundo a equipe, os arquivos expostos abrangem o período de 2017 a 2024. Como a empresa foi estabelecida em 2017, isso sugere fortemente que todos os seus clientes foram impactados pelo vazamento.
A equipe observou que o bucket desprotegido contém 2,9 milhões de digitalizações de vários documentos KYC, como:
Passaportes e documentos de identidade
Carteiras de motorista
Documentos de eleitor
Selfies para verificação
Todos os itens acima servem como prova de identidade. Como é comum em verificações remotas de identidade, após enviar um documento emitido pelo governo, os usuários geralmente precisam tirar uma selfie para confirmar que enviaram seus próprios dados.
Embora a equipe não tenha confirmação de que atores maliciosos acessaram a instância exposta, é sabido que criminosos monitoram constantemente a web em busca de servidores desprotegidos. Em outras palavras, se nossa equipe encontrou isso, é provável que outros também o tenham feito.
Nem é preciso dizer que os atacantes almejam documentos emitidos por governos, pois esses documentos são essenciais para facilitar o roubo de identidade. Com os documentos KYC dos usuários, os atacantes podem abrir contas bancárias, solicitar empréstimos ou obter cartões de crédito, por exemplo.
Como os atacantes podem roubar a identidade dos usuários, o risco de fraude financeira aumenta drasticamente. Por exemplo, criminosos cibernéticos poderiam usar o vazamento para obter acesso não autorizado a serviços financeiros.
“Os cibercriminosos podem usar a identidade do indivíduo para abrir contas fraudulentas, solicitar empréstimos ou cartões de crédito e realizar transações não autorizadas”, disse a equipe.
Como alguns serviços exigem verificação de identidade quando os usuários desejam redefinir suas senhas, atacantes habilidosos também podem usar IDs e selfies vazados para assumir o controle de outras contas de usuários. Os pesquisadores alertam que isso pode permitir que os atacantes obtenham controle total sobre as contas financeiras de uma pessoa, resultando em transferências não autorizadas ou alterações nas configurações da conta.
“No contexto do papel da Miio como um telcobank que atende a uma ampla base de clientes, um vazamento como esse comprometeria a confiança na capacidade da empresa de proteger dados sensíveis, expondo seus usuários a graves riscos financeiros e pessoais”, afirmou a equipe.
A equipe acredita que a principal causa do vazamento foi uma má configuração. Tais erros ocorrem com frequência e, no final, cabe aos usuários da empresa avaliar se conseguem tolerar esse tipo de descuido.
No entanto, o aspecto mais preocupante do vazamento da Miio é que o bucket está aberto há pelo menos três meses. Várias tentativas de contatar a empresa foram ignoradas.
O CERT do México também foi contatado sobre o problema, mas não confirmou o recebimento do alerta. Entramos em contato com a Miio para obter um comentário oficial sobre o vazamento e atualizaremos o artigo assim que recebermos uma resposta.
Para prevenir e evitar problemas semelhantes, a equipe sugere:
Alterar os controles de acesso para restringir o acesso público e proteger o bucket. Atualizar as permissões para garantir que apenas usuários ou serviços autorizados tenham acesso necessário.
Monitorar retrospectivamente os logs de acesso para avaliar se o bucket foi acessado por atores não autorizados.
Ativar a criptografia no lado do servidor para proteger os dados em repouso.
Implementar SSL/TLS para dados em trânsito, garantindo uma comunicação segura.
Considerar a implementação de melhores práticas de segurança, incluindo auditorias regulares, verificações automatizadas de segurança e treinamento de funcionários.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...