O ano de 2019 tem começado com um série de vazamentos, e agora, a base exposta é da Gearbest, uma empresa chinesa de comércio eletrônico, que inclusive vem ganhando forças aqui no Brasil, e obviamente no mundo inteiro. As informações vazadas foram identificadas pelo pesquisador Noam Rotem, para quem não conhece, ele é o “cara” que descobriu a violação de dados do aplicativo de identificação de chamadas Dalil.
Violação de dados Gearbest
A notícia veio ao mundo hoje, através de um relatório completo publicado no site vpnmentor, o pesquisador alega que tudo isso ocorreu por um lapso de segurança. Segundo o relatório apresentado, o pesquisador localizou o banco de dados da Gearbest totalmente desprotegido, e nele foi possível visualizar cerca de 1,5 milhões de registros, os dados são considerados altamente sensíveis, e que põe em risco de forma grave os clientes da Gearbest.
Na checagem, o pesquisador relata que encontrou diferentes bancos de dados e uma diversidade de informações, tais como:
- Informações detalhadas sobre pagamentos
- Informações de talhadas sobre pedidos
- Dados dos clientes
- Endereço de IP
- Informações pessoais e explícita de clientes
- Informações sobre documentos como passaporte e identidade
Procurado para comentar a gravidade deste incidente, Naaman Hart, Arquiteto de Segurança de Serviços em Nuvem da Digital Guardian, disse:
Embora as violações possam ser vistas como quase inevitáveis nos dias de hoje, a criptografia dos dados roubados deve ser dada, especialmente diante da sensibilidade dos dados armazenados na Gearbest. Preocupante, não são apenas os nomes, endereços, senhas e e-mails habituais; os dados incluem detalhes do passaporte e identificações nacionais. A Gearbest não parece ter mostrado qualquer cuidado em segregar informações, que apesar de ser tudo pessoal, não é igual.
Hart expressou ainda preocupações sobre como algum cracker (hacker mal intencionado) poderia usar essa informação.
Os dados foram localizados de maneira fácil, que um perfil completo de alguém poderia ser criado a ponto de causar ao indivíduo fraude de identidade. Existem muitos outros riscos que podem acontecer a cada cliente de forma individual. E tentar corrigir esse problema invalidando todos os dados, solicitando novos passaportes e identidades nacionais não só é difícil, como às vezes é impossível. Os clientes da Gearbest teram que aceitar que estarão sempre expostos a riscos adicionais, graças à má administração de seus dados.
Resposta da Gearbest
Em resposta, a Gearbest publicou um aviso detalhado explicando o incidente. De acordo com a notificação, a violação ocorreu devido ao desligamento acidental de firewalls por parte de sua equipe para algumas ‘ferramentas externas’ que eles usam para ‘armazenamento temporário dos dados’.
No entanto, eles garantem que seus bancos de dados reais permaneçam protegidos. Mais tarde, em uma atualização recente, a Gearbest revelou o que aconteceu com os firewalls, dizendo:
Descobrimos que nossa equipe de TI mudou sua estratégia de TI desde o início de janeiro de 2019 para reduzir o jitter de rede ao visitar os servidores da ferramenta em nossa rede. Como resultado disso, o funcionamento normal do sistema de firewall foi afetado negativamente.
Conforme explicado, o sistema de firewall exibiu inativação regular durante o período de 10 de janeiro de 2019 a 28 de fevereiro de 2019. Então, de 1º de março de 2019, até a descoberta de dados expostos pela Rotem, o firewall permanece totalmente inativado.
Eles confirmaram ainda que não há downloads externos dos dados, segue o trecho:
… Descobrimos que atualmente nenhum registro de dados foi baixado por outros… acreditamos que nenhum registro de dados reais foi realmente vazado.
Quanto à falha da Gearbest em proteger a integridade dos métodos de segurança do banco de dados, Hart disse:
A coisa mais chocante sobre isso é a completa falta de confiança que foi dita aos clientes da Gearbest… A criptografia de dados em repouso era a promessa e não parece ter sido o caso. Parece que Gearbest falhou em duas contas de configuração. Primeiro, eles falharam em proteger uma configuração de pesquisa elastic do ‘big data’ e, em segundo lugar, não conseguiram criptografar nenhum desses dados. Ambos são problemas de configuração e melhores práticas e, francamente, há pouca desculpa para não implementá-los corretamente. Em última análise, se você não pode confiar em uma empresa para obter o básico, definitivamente não confie neles para manter você e seus dados seguros.
Erros humanos na Gearbest
Conforme elaborado pela Gearbest, e evidente a partir do histórico anterior de violações de dados, as organizações geralmente não conseguem proteger seus bancos de dados devido a erros humanos. Talvez, a formação de pessoal em relação às melhores práticas de segurança cibernética continue a ser a necessidade neste momento dentro da empresa.
Stephen Gailey, chefe de arquitetura de soluções da Exabeam disse o seguinte:
Os problemas da Gearbest destacam uma verdade fundamental sobre a segurança da informação – não importa quão boa seja sua tecnologia, no final, ela será prejudicada por práticas operacionais precárias. É certo, que algumas tecnologias tornam mais difícil do que outras o seu funcionamento, mas a realidade é que as equipes operacionais não entendem as melhores práticas de segurança ou recebem muito pouco tempo e recursos para segui-las. O que aconteceu na Gearbest em termos de controles operacionais ruins está acontecendo em todo o mundo hoje, e a próxima empresa a estar nas notícias provavelmente está sendo violada enquanto conversamos.
Embora esses incidentes tenham se tornado uma espécie de rotina, para organizações gigantes que trabalham em nível internacional, essas violações parecem um sério lapso de segurança, já que deveriam ser mais vigilantes.
De acordo com Anurag Kahol, CTO da Bitglass, disse:
É preocupante quando se leva uma organização meses, ou até anos, para reconhecer que um servidor mal configurado ativou uma violação ou um vazamento. Como um provedor global de e-commerce que atende mais de 250 países e territórios, está entre os 100 principais sites em quase 30% das regiões e possui subdomínios em 18 idiomas diferentes, a Gearbest precisa adotar uma plataforma de segurança flexível que detecte e responda proativamente novas ameaças à medida que surgem. Permitir que um servidor permaneça mal configurado por um período prolongado de tempo aumenta as chances de que um hacker malicioso possa encontrá-lo e explorar as informações nele para seus próprios propósitos nefastos.
O que as empresas devem fazer ?
A Anurag Kahol recomenda algumas soluções econômicas que as empresas devem adotar para aliviar incidentes como a violação de dados da Gearbest.
Ao longo de 2018 e 2019, erros de configuração cresceram em popularidade como um vetor de ataque em todos os setores. Isso destaca a realidade de que as organizações estão lutando com recursos limitados de TI e, consequentemente, são suscetíveis a erros imprudentes, como configurações incorretas. Como tal, as empresas devem recorrer a soluções flexíveis e econômicas que possam ajudá-las a se defender contra o vazamento de dados. Por exemplo, os principais agentes de segurança de acesso à nuvem (CASBs) fornecem CSPM (gerenciamento de postura de segurança na nuvem), UEP (prevenção de perda de dados), UEBA (analytics de comportamento de entidade e entidade) e outros recursos que podem dar à organização a confiança de que seus dados estão realmente seguros.
Por hora, nenhuma nova informação foi divulgada, a recomendação inicial é trocar as senhas e aguardar mais respostas sobre o caso. A Gearbest “acha”, que ninguém fez o download dos dados, a questão é que quem acha, não tem certeza! Cuidado aonde você armazena seus dados!