Um arquivo de banco de dados com mais de 10 milhões de registros de visitantes nos hotéis MGM Resorts está atualmente distribuído gratuitamente em um fórum de hackers.
Os dados são provenientes de uma violação de segurança em julho de 2019 em um dos serviços em nuvem da MGM. No total, existem 10.683.189 registros com cerca de 3,1 milhões de endereços de e-mail até pelo menos 2017.
Hackers compartilham banco de dados onde alguns dados ainda são válidos!
Entre os detalhes comprometidos estão nomes de convidados, datas de nascimento, endereços de e-mail, números de telefone e endereços físicos completos com códigos postais.
A postagem que compartilhava as informações foi identificada por um pesquisador da Under the Breach, empresa que monitora o espaço de crimes cibernéticos e atualmente trabalha na liberação de um novo serviço com o objetivo de fornecer informações às empresas sobre possíveis violações.
Nem todas as informações nos arquivos ainda são válidas. O site ZDNET conseguiu confirmar que, em alguns casos, os números de telefone foram desconectados. Por outro lado, em outras vezes, a publicação recebia confirmação da pessoa que atendia ao telefone que os detalhes eram reais.
A MGM reconheceu que o despejo de dados resultou de um incidente de segurança em 2019. Embora não tenhamos encontrado uma notificação para os indivíduos afetados, alguns membros do fórum do Vegas Message Board que permaneceram no MGM Resorts foram alertados no verão (setentrional) passado que seus dados pessoais haviam surgido na dark web.
Um membro do fórum Vegas Message Board disse:
Eu estava em uma propriedade da MGM em julho. Minha empresa de cartão de crédito e um serviço de monitoramento de crédito independente me notificaram em 19 de agosto que meu e-mail estava na dark web e que as senhas de dois sites foram comprometidas.
Risco de fraude
O site ZDNET informa que, de acordo com a Under the Breach, o banco de dados contém detalhes de convidados de alto nível, como o CEO do Twitter, Jack Dorsey, o popstar Justin Bieber e funcionários do Departamento de Segurança Interna dos EUA e da Administração de Segurança de Transporte.
O risco imediato de expor publicamente os dados pessoais é receber mensagens de phishing direcionadas que podem ajudar os cibercriminosos em suas atividades fraudulentas.
Além disso, os detalhes podem ser usados para criar novas contas em nome da vítima ou para fraude de identidade sintética. Por exemplo, há crimes onde o cibercriminoso precisa apenas que algumas informações sejam válidas para solicitar algum serviço.
Fonte: Bleeping Computer