O pesquisador Bob Diachenko revelou, na tarde desta segunda-feira (19) através de seu perfil no Twitter, que um servidor desprotegido acabou expondo dado de mais de 13 milhões de usuários do Fotor, famoso editor de fotos online e gratuito.
- Microsoft deixa vazar dados de quase todos os usuários do Bing para smartphones
- Acontece, né? Vazamento de dados do SANS Institute afeta 28 mil registros
- Exclusivo: Detran PR expõe cópia de seu banco de dados com credenciais de administradores
Embora Bob não tenha fornecido detalhes a respeito, podemos deduzir que se tratava de mais um caso de bucket do Amazon Simple Storage Service (S3) ou ambiente Elasticsearch mal-configurado.
[IN SHORT] Popular online photoeditor Fotor [@fotor_com] exposed emails+nicknames of its 13M+ users. Now secured, "the trouble shooting by our technical guys are still ongoing". The main threat for the users: targeted phishing attacks. pic.twitter.com/xDNYuVsNo8
— Bob Diachenko (@MayhemDayOne) October 19, 2020
Na imagem compartilhada pelo especialista, podemos ver que os dados expostos incluem endereço de email, número de “fãs”, URL da imagem usada como foto de perfil e nome de usuário (nickname). Como bem observado pelo próprio analista, embora nenhuma informação sensível tenha sido vazada, a coleção poderia muito bem ser utilizada por golpistas em campanhas personalizadas de phishing direcionado.
Bob afirma que, após notificar a equipe do Fotor, a própria tirou o servidor do ar e estaria trabalhando nas “complicações” do incidente. Porém, parece que o time agiu de forma tardia, visto que a The Hack já foi capaz de encontrar uma cópia do banco de dados — com 9 milhões de registros — sendo disseminada gratuitamente em fóruns específicos para esse tipo de conteúdo.
A The Hack entrou em contato com a assessoria de imprensa do Fotor e atualizaremos esta matéria assim que a companhia de pronunciar.
Fonte: Bob Diachenko/Twitter