Recentemente, a The Hack noticiou revelou um grave vazamento de informações que expôs dados pessoais de cidadãos colombianos — dois servidores da empresa colombiana Mensajeros Urbanos, uma plataforma de entregas expressas, estavam configurados erroneamente e permitiam o acesso a mais de 2,4 milhões de registros. Além de dados como nome, email e telefone, o vazamento também comprometeu versões digitalizadas de inúmeras Cédulas de Ciudadania (o “RG colombiano”).
Embora os ambientes vulneráveis já estivessem fechados no momento da publicação da matéria, é importante ressaltar que a companhia em questão jamais retornou as nossas tentativas de contato e nunca emitiram um posicionamento oficial para nossa equipe. Porém, quase uma semana após a divulgação do incidente — e com uma grande reverberação na mídia local —, os executivos da startup resolveram quebrar o silêncio e se pronunciar a respeito do caso para a imprensa colombiana.
Em uma entrevista concedida ao El Tiempo, maior e mais antigo jornal do país, Oscar Durán (VP de produto e tecnologia) e Juan Pablo Malaver (diretor jurídico e de assuntos corporativos) procuraram tranquilizar seus clientes, garantindo que as informações expostas “não possuíam valor comercial para terceiros”.
“Para nós, é importante mencionar que não se tratam de 2,4 milhões de dados pessoais ou cédulas”, explicam os executivos. “A base de dados que citam continha dados operacionais internos, como, por exemplo, número de acompanhamento de serviços, identificadores de ocorrências em um serviço e comentários sobre interações de equipes internas que monitoram a operação com o time de logística”. Os entrevistados garantem que tais dados estariam “desagregados e inteligíveis” para alguém de fora da Mensajeros Urbanos.
"Foi um procedimento de hacking"
Questionados pelo El Tiempo, Oscar e Juan afirmam que ainda não podem confirmar com certeza que o número de 2,4 milhões de registros está correto. Ao serem indagados sobre a presença de fotografias de cédulas contendo dados pessoais (tipo sanguíneo, data de nascimento etc.), eles confirmam que tais documentos saíram de sua base de dados, mas amenizam o problema.
“Não significa que se fizéssemos uma busca no Google por ‘banco de dados mensajeros urbanos’ encontraríamos as cédulas de nossos associados. Esse foi um procedimento de ‘hacking’ que encontrou um servidor que não cumpria com características de segurança de nossa política interna”, comentam.
Frente a la información que está circulando en algunos medios de comunicación, Mensajeros Urbanos se permite compartir su comunicado oficial. pic.twitter.com/v2bkqUuMzO
— Mensajeros Urbanos (@mensajerosurban) October 30, 2019
Os executivos afirmaram ainda que não há evidências de um download massivo dos dados (visto que não há registros de picos no tráfego dos servidores) e que uma investigação para apurar melhor o incidente ainda está em andamento. A startup estaria ainda preparando um relatório técnico que será encaminhado para a Superintendência da Indústria e Comércio (SIC) da Colômbia, conforme manda a lei vigente; porém, o órgão, até o momento, não teria notificado a marca a respeito do incidente.
A entrevista completa do El Tiempo (em espanhol) pode ser lida neste link. A companhia também liberou um comunicado simplificado em seu perfil do Twitter e outras redes sociais.
O que aconteceu?
Em setembro, a The Hack foi notificada pelo pesquisador francês Enzo, CEO da OnlineProtek, a respeito de um ambiente Elasticsearch aberto que expunha aproximadamente 2,4 milhões de registros desorganizados em texto simples. Após averiguar a denúncia, descobrimos que o próprio Elasticsearch fazia menção a outro ambientes igualmente desprotegido — um servidor CloudFront usado para armazenar uma série de arquivos em PDF e XLS (planilhas do Excel).
A priori, acreditávamos que os ambientes pertenciam ao Davivienda, terceiro maior banco da Colômbia, já que os registros faziam menção ao “Daviplata”, aplicativo para dispositivos móveis da instituição financeira em questão. Porém, após uma investigação mais aprofundada, confirmamos — ao encontrar manuais técnicos de integração da plataforma — que os servidores eram, na verdade, mantidos pela Mensajeros Urbanos, que oferece serviços tanto para pessoas físicas quanto jurídicas.
O vazamento foi validado por Camilo Gutiérrez Amaya, head of awareness & research da ESET para a América Latina, que auxiliou a nossa equipe durante a investigação. Camilo ressalta ainda que é possível observar um aumento no número de incidentes cibernéticos causados por má-configuração de tecnologias de computação na nuvem.
No caso específico do Elasticsearch, podemos citar a recente exposição de dados de quase toda a população equatoriana, tal como a vulnerabilidade em um sistema terceirizado do McDonald’s Brasil, que expôs informações milhões de informações sobre funcionários que trabalham na rede de fast-food.
A reportagem original pode ser acessada através deste link.
Fonte: El Tiempo, Mensajeros Urbanos