- O pesquisador descobriu que a falha do UStrive expôs dados confidenciais de 238 mil usuários, incluindo menores.
- A empresa afirma que o vazamento foi resolvido, mas não forneceu detalhes sobre duração ou avisos
- A configuração incorreta do banco de dados geralmente leva a vazamentos, resultando em consequências de reputação, financeiras e jurídicas
A UStrive, uma empresa americana de tutoria on-line, estava vazando informações confidenciais para centenas de milhares de seus usuários.
No início deste mês, ele foi contatado por um pesquisador de segurança que optou por permanecer anônimo TechCrunchdizendo que encontraram um bug no site da UStrive para visualizar informações pessoais de outros usuários.
Como a UStrive estava usando o GraphQL hospedado pela Amazon, uma linguagem de consulta para APIs que permite aos clientes solicitar exatamente os dados de que precisam, o pesquisador conseguiu ver as informações nas ferramentas do navegador enquanto analisava o tráfego da web.
Problema resolvido
O pesquisador diz que eles conseguiram acessar dados confidenciais de 238 mil usuários, incluindo nomes, endereços de e-mail, números de telefone e outros dados fornecidos pelos usuários. Vale ressaltar também que devido à natureza do serviço, muitos usuários são menores de idade.
O TechCrunch contatou o UStrive diretamente e, após algumas idas e vindas, foi informado de que o vazamento havia sido “consertado”. Nenhum outro detalhe foi compartilhado, por isso não sabemos há quanto tempo a informação está disponível ou se foi acessada anteriormente por alguém, especialmente por pessoas mal-intencionadas.
Não sabemos como o UStrive resolveu o problema ou se notificará os indivíduos afetados sobre o acidente.
Um representante legal da empresa disse ao TechCrunch que ela está atualmente em litígio com um de seus ex-engenheiros de software, o que a torna “um tanto limitada em sua capacidade de resposta”.
As configurações incorretas dos bancos de dados continuam sendo uma das principais causas de vazamentos de dados em todo o mundo. Num ambiente cloud, a segurança dos dados é uma responsabilidade partilhada, o que significa que os clientes são obrigados a utilizar todos os recursos disponíveis para tornar os seus dados inacessíveis a terceiros não autorizados.
Muitas vezes, este não é o caso, levando a vazamentos massivos de dados. Estes, por sua vez, podem levar a danos financeiros, danos à reputação, perda de negócios e clientes e, em alguns casos, ações judiciais coletivas.
Através TechCrunch
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
