Um gigantesco vazamento de dados expôs dados pessoais, notas fiscais e registros de compras de usuários do Locally, site de comércio eletrônico que conecta pessoas e negócios presenciais. O comprometimento aconteceu em duas infraestruturas pertencentes à empresa, contando também com informações internas, registros de erros e detalhes técnicos de bancos de dados.
Segundo informações do Cybernews, responsável por revelar a falha, são pelo menos 48 milhões de entradas expondo dados pessoais de usuários do Locally, entre empresas, fornecedores e clientes, incluindo nomes completos, e-mails, números de telefone e endereços. O banco de dados comprometido também traria as informações de pelo menos 700 mil comerciantes, com registros internos e números de identificação.
Ainda dentro da infraestrutura do Locally, os pesquisadores em segurança encontraram links diretos para páginas de confirmação de compras realizadas pelos clientes, também trazendo dados pessoais. Ainda que tais espaços estivessem configurados para não serem identificados por mecanismos de busca, eles poderiam ser acessados por qualquer um e permitiria acesso a, virtualmente, todas as compras realizadas na plataforma.
Tais detalhes que poderiam levar à percepção de padrões de consumo e golpes direcionados contra os clientes, em nome da própria plataforma ou de terceiros. Ainda que informações bancárias ou de pagamento não pareçam estar em meio ao vazamento, ele inclui valores pagos, taxas, endereços de entrega e coleta de produtos, além dos horários de funcionamento dos estabelecimentos.
/i612417.jpeg)
A raiz da descoberta feita pelo Cybernews também envolve dados internos, com a exposição de sistemas e registros de erros em servidores — com parciais de registros financeiros — a partir de outubro de 2019. Foi pesquisando mais a fundo que os pesquisadores encontraram a segunda infraestrutura comprometida, ambas sem as devidas proteções com senha ou autenticação em múltiplo fator. Detalhes internos da rede, projetos, arquivos internos e repositórios de programação também fazem parte do volume encontrado.
Expandindo ainda mais a vulnerabilidade, os especialistas encontraram 152 portas abertas em dispositivos de Internet das Coisas, que poderiam levar a ataques direcionados contra a infraestrutura da Locally. Os golpes poderiam variar desde tentativas de uso dos dispositivos em ofensivas de negação de serviço até tentativas de intrusão na rede, seja para extração de dados ou instalação de ransomware.
Ataques de engenharia social podem acompanhar vazamento de dados
/i612418.jpeg)
O principal temor, de acordo com os especialistas do Cybernews, é de ataques que utilizem os dados e atinjam os lojistas e clientes da Locally. De posse das confirmações de compra, por exemplo, um criminoso poderia contatar um usuário em busca de uma suposta confirmação que envolva a entrega de mais dados ou transferências adicionais, enquanto comerciantes podem ver o conhecimento de números de identificação e registros internos como prova de veracidade nos contatos.
Além disso, a coleta ostensiva de notas fiscais e dados pessoais pode levar ao conhecimento de padrões de consumo que também podem ser usados em ataques de phishing, resultando na instalação de malwares. A estrutura da Locally, como dito, também fica vulnerável com a presença de servidores desprotegidos e portas abertas que poderiam ser usadas com o mesmo intuito.
Segundo o Cybernews, é impossível saber por quanto tempo a infraestrutura esteve aberta e se terceiros tiveram acesso às informações. A empresa também afirma não ter recebido retorno da Locally sobre os achados, compartilhados com eles antes de serem disponibilizados ao público. O Canaltech também procurou o e-commerce, que não havia retornado até a publicação desta reportagem.
FONTE: https://canaltech.com.br/seguranca/vazam-dados-de-milhoes-de-usuarios-do-popular-e-commerce-gringo-locally-220858/