A Fundação OWASP revelou uma violação de dados depois que currículos de alguns membros foram expostos online devido a uma má configuração de seu antigo servidor web Wiki.
Sigla para Open Web Application Security Project, a OWASP é uma fundação sem fins lucrativos lançada em dezembro de 2001 e foca na segurança de software.
Atualmente, conta com dezenas de milhares de membros e mais de 250 capítulos que organizam conferências educacionais e de treinamento em todo o mundo.
A OWASP afirma ter descoberto a má configuração do Media Wiki no final de fevereiro, após vários pedidos de suporte.
O incidente afetou apenas membros que se juntaram à fundação entre 2006 e 2014 e forneceram currículos como parte do antigo processo de associação.
"Os currículos continham nomes, endereços de email, números de telefone, endereços físicos e outras informações pessoalmente identificáveis", disse o diretor executivo da OWASP, Andrew van der Stock.
"A OWASP coletava currículos como parte do processo inicial de associação, pelo qual os membros eram obrigados na era de 2006 a 2014 a demonstrar uma conexão com a comunidade OWASP.
A OWASP não coleta mais currículos como parte do processo de associação."
A fundação enviará um email para as pessoas afetadas para notificá-las do incidente, embora muitas delas não sejam mais membros e os detalhes pessoais expostos estejam, em muitos casos, desatualizados.
A OWASP também adotou várias medidas para abordar a violação de dados, incluindo a desativação da navegação em diretórios e a revisão da configuração do servidor web e do Media Wiki em busca de outros problemas de segurança.
Para evitar novos acessos, todas os currículos foram removidos do site wiki, e o cache da Cloudflare foi purgado.
Além disso, a OWASP entrou em contato com o Web Archive e solicitou que as informações dos currículos expostos fossem removidas.
"A OWASP já removeu suas informações da Internet, então nenhuma ação imediata de sua parte é necessária.
Nada precisa ser feito se as informações em risco estiverem desatualizadas", adicionou van der Stock.
"No entanto, se as informações forem atuais, como conter o seu número de celular, por favor, tome as precauções usuais ao responder emails, correspondências ou chamadas telefônicas não solicitadas."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...