31,5 milhões de faturas, contratos, formulários de consentimento de pacientes e muito mais expostos na internet
Exclusivo Quase 2,7 TB de dados confidenciais — 31,5 milhões de faturas, contratos, formulários de consentimento de pacientes HIPPA e outros documentos comerciais referentes a diversas empresas de vários setores — foram expostos à internet pública em um banco de dados não protegido por senha por um período de tempo desconhecido.
“Quando comecei a ver as faturas, ficou bem claro quais eram os riscos, incluindo fraude de fatura”, disse o pesquisador de segurança da informação Jeremiah Fowler, que identificou os arquivos expostos e os discutiu com O Registro em uma entrevista exclusiva. “Noventa e cinco por cento dos crimes cibernéticos são baseados em finanças. No fim das contas, os criminosos querem dinheiro. Quem tem dinheiro? Empresas.”
De acordo com Fowler, o banco de dados acabou pertencendo à ServiceBridge, uma provedora de software como serviço que pode ser usada por empresas – pense em controle de pragas, manutenção e instaladores – para lidar com ordens de serviço de clientes, gerenciar funcionários em campo, gerar faturas, receber pagamentos e muito mais.
Em um artigo compartilhado anteriormente com O Registro – e ser publicado aqui hoje – Fowler disse que alguns dos milhões de documentos expostos datavam de 2012, e incluíam contratos e propostas comerciais, ordens de serviço, formulários de inspeção, acordos e outros registros, incluindo os mencionados acima. Os documentos estavam nos formatos PDF e HTML, e organizados em pastas por ano e mês.
Eles sabem os nomes dos instaladores que você usa. É realmente o próximo nível de risco
De acordo com o relatório de Fowler, os arquivos pertenciam ao que pareciam ser clientes da ServiceBridge, desde “proprietários de imóveis particulares, escolas e instituições religiosas até redes de restaurantes famosas, cassinos de Las Vegas, prestadores de serviços médicos e muitos outros”.
“Na amostragem limitada de documentos que analisei, a maioria parecia ser dos EUA, mas também vi empresas e clientes do Canadá, Reino Unido e vários países europeus”, escreveu ele.
Os dados, nos disseram, são uma enorme coleção de informações pessoais, incluindo, às vezes, detalhes de contato de pessoas, números parciais de cartões de crédito, nomes de pacientes em acordos de equipamentos médicos e relatórios de auditoria do local com fotografias do interior e do exterior das propriedades.
Ao notificar a empresa sediada em Chicago, que estava comprado pela empresa de gerenciamento de frotas do Arizona GPS Insight em 2020, do acidente, o banco de dados foi fechado ao público, diz Fowler. Ele disse que nunca recebeu resposta da ServiceBridge sobre a exposição. Pedimos uma resposta à empresa.
Qualquer pessoa que descobrisse o esconderijo de documentos poderia tê-los usado para phishing direcionado e fraude.
Um dos arquivos continha uma ordem de serviço para um cliente mostrando informações de pagamento parcial com metade do saldo devido, juntamente com o nome, endereço físico, números de telefone e endereço de e-mail do cliente.
“Ele disse que eles pagaram 50 por cento e tinham um saldo devido de cerca de US$ 1.000”, disse Fowler. “Então, hipoteticamente, tudo o que um criminoso teria que fazer é entrar em contato com o cliente, usando a mesma fatura como modelo e dizer, ‘ei, atualizamos nossas informações de cobrança. Clique neste link para pagar o saldo.'”
Todas as informações contidas na ordem de serviço são informações privilegiadas, Fowler acrescentou. “São apenas informações que o provedor de serviços saberia.”
Então, um criminoso poderia teoricamente enganar o cliente para pagar o saldo na conta bancária do fraudador, usando os detalhes atualizados, “e então você teria perdido US$ 1.000”, ele disse. “Isso seria um ataque do tipo man-in-the-middle.”
Outro arquivo exposto exibia a inspeção de um dispositivo de Internet das Coisas com uma descrição detalhada do número do modelo do sistema, versão do firmware, tipo de bateria e outros detalhes que poderiam ajudar criminosos a identificar vulnerabilidades de segurança a serem exploradas.
Além disso, o grande número de faturas contidas no banco de dados tornaria muito fácil para fraudadores usarem técnicas de engenharia social e phishing.
“Já que as pessoas são tão crédulas até com os golpes mais óbvios, imagine se alguém tiver informações privilegiadas”, disse Fowler.
“Eles têm modelos que você já viu”, ele acrescentou, referindo-se às pilhas de faturas, cartas e formulários no banco de dados que os bandidos poderiam ter usado para fazer falsificações para fraude. “Eles sabem os nomes dos instaladores que você usa. É realmente o próximo nível de risco.”
Esse risco se aplica tanto às empresas — que podem sofrer sérios danos à reputação, bem como multas regulatórias se estiverem envolvidas em uma violação de segurança que resulte em faturas roubadas e outros registros contendo dados pessoais — quanto aos clientes, cuja privacidade agora foi comprometida.
A lição para os clientes do ServiceBridge, pelo menos, de acordo com Fowler, é “não confiar em nada na internet. Verifique se qualquer coisa parece suspeita. Verifique, pegue o telefone. E-mails, a internet, tudo isso é tão fácil de manipular.”
As organizações também precisam fazer um trabalho melhor protegendo seus clientes, ele acrescentou. Mesmo em um caso como esse, em que um pesquisador, não um criminoso, encontra um banco de dados aberto, as empresas devem alertar seus clientes.
“Você tem que deixar seus clientes saberem, e a razão para isso é para que eles fiquem cientes e possam ficar atentos a comportamentos suspeitos”, disse Fowler. “Se eles não estiverem cientes, eles são alvos fáceis e realmente cegos para o fato de que alguém pode estar armado com informações privilegiadas das quais o cliente não tem razão para duvidar.”
Fowler já havia descoberto e sinalizado bancos de dados on-line desprotegidos, incluindo aqueles usados por um fabricante de software de táxio Polícia Nacional Irlandesae um plataforma de arrecadação de fundos para organizações sem fins lucrativos. ®
