Banco de dados desprotegido expõe informações pessoais de 80 milhões de famílias americanas

Uma equipe de pesquisadores de segurança afirma ter encontrado um banco de dados de acesso público que expõe informações sobre mais de 80 milhões de residências nos EUA – quase 65% do total de residências americanas.

Descoberto pela equipe de pesquisa da VPNMentor liderada pelos hacktivistas Noam Rotem e Ran Locar, o banco de dados não seguro inclui 24 GB de informações extremamente detalhadas sobre residências individuais, incluindo seus nomes completos, endereços, idades e datas de nascimento.

O enorme banco de dados que está hospedado em um servidor de nuvem da Microsoft também contém informações codificadas em “valores numéricos”, que os pesquisadores acreditam que se correlacionam com o gênero, estado civil, faixa de renda, status e tipo de residência dos proprietários.

Felizmente, o banco de dados desprotegido não contém senhas, números de seguridade social ou informações de cartão de pagamento relacionadas a qualquer um dos domicílios americanos afetados.

Os pesquisadores verificaram a precisão de alguns dados no cache, mas não baixaram os dados completos para minimizar a invasão de privacidade dos afetados.

A equipe de pesquisa descobriu o banco de dados acidentalmente durante a execução de um projeto de mapeamento da Web usando o escaneamento de portas para examinar blocos IP conhecidos, a fim de encontrar falhas nos sistemas da Web, que eles examinam em busca de falhas e vazamentos de dados.

Normalmente, a equipe alerta o proprietário do banco de dados para relatar o vazamento para que a empresa afetada possa protegê-lo, mas, nesse caso, os pesquisadores não conseguiram identificar o proprietário do banco de dados.

“Ao contrário dos vazamentos anteriores que descobrimos, desta vez, não temos ideia de quem esse banco de dados pertence”, diz a equipe em um post no blog . “Ele está hospedado em um servidor em nuvem, o que significa que o endereço IP associado a ele não está necessariamente conectado ao seu proprietário.”

O banco de dados não protegido estava on-line até ontem e não exigia senha para acesso, que agora está offline.

Como cada entrada no banco de dados termina com ‘member_code’ e ‘score’ e ninguém listado tem menos de 40 anos, os pesquisadores suspeitam que o banco de dados pode ser de propriedade de seguradoras, de saúde ou de hipotecas.

No entanto, informações como números de políticas ou contas, números de previdência social e tipos de pagamento estão ausentes do banco de dados que alguém pode esperar encontrar em um banco de dados de corretores ou bancos.

Os pesquisadores então chamaram o público na segunda-feira para ajudá-los a identificar quem poderia ter o banco de dados em questão para que ele pudesse ser protegido.

Embora o banco de dados não expusesse informações sigilosas sobre cartões ou SSNs, os dados divulgados são suficientes para se preocupar com roubo de identidade, fraudes, golpes de phishing e até mesmo invasões em domicílios.

Rotem é o mesmo pesquisador de segurança que no início do ano encontrou uma vulnerabilidade severa no popular sistema de reservas de passagens aéreas Amadeus que poderia permitir que hackers remotos visualizassem e modificassem os detalhes de viagem de milhões de clientes de grandes companhias aéreas internacionais e até mesmo reivindicassem suas milhas de passageiro frequente.


Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.