- Pesquisador encontrou falha no UStrive expondo dados confidenciais de 238.000 usuários, incluindo menores
- A empresa afirma que o vazamento foi corrigido, mas não forneceu detalhes sobre duração ou notificações
- As configurações incorretas do banco de dados geralmente causam vazamentos, levando a consequências legais, financeiras e de reputação
A UStrive, uma empresa de mentoria online dos EUA, estava vazando informações confidenciais sobre centenas de milhares de seus usuários.
No início deste mês, um pesquisador de segurança que decidiu permanecer anônimo entrou em contato com TechCrunchdizendo que descobriram uma falha no site da UStrive que lhes permitia visualizar informações pessoais de outros usuários.
Como o UStrive estava usando Amazônia-hospedado GraphQL, que é uma linguagem de consulta para APIs que permite aos clientes solicitar exatamente os dados de que precisam, o pesquisador conseguiu ver as informações nas ferramentas do navegador enquanto examinando o tráfego de rede.
Problema corrigido
O pesquisador afirma que conseguiu acessar dados confidenciais de 238 mil usuários, incluindo nomes completos, endereços de e-mail, números de telefone, bem como outros dados fornecidos pelos usuários. Vale ressaltar também que, pela natureza do serviço, muitos de seus usuários são menores de idade.
O TechCrunch entrou em contato diretamente com o UStrive e, depois de algumas idas e vindas, foi informado que o vazamento foi “remediado”. Nenhum outro detalhe foi compartilhado, então não sabemos por quanto tempo as informações permaneceram acessíveis ou se alguém as acessou antes – especialmente atores mal-intencionados.
Também não sabemos como o UStrive resolveu o problema ou se notificará os indivíduos afetados sobre o acidente.
Um representante legal da empresa disse ao TechCrunch que ela está atualmente em litígio com um de seus ex-engenheiros de software, o que a torna “um tanto limitada em sua capacidade de resposta”.
As configurações incorretas dos bancos de dados continuam sendo uma das principais causas de vazamentos de dados em todo o mundo. Num ambiente cloud, a segurança dos dados é uma responsabilidade partilhada, o que significa que os clientes são obrigados a utilizar todos os recursos disponíveis para tornar os seus dados inacessíveis a terceiros não autorizados.
Muitas vezes, este não é o caso, resultando em grandes vazamentos de dados. Estas podem, por sua vez, levar a danos financeiros, à ruína da reputação, à perda de negócios e de clientes e, em alguns casos, a ações judiciais coletivas.
Através TechCrunch
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.