Read, hack, repeat

Plataforma de cashback expõe informações pessoais e bancárias de 3,5 milhões de clientes

Ramon de Souza

A Pouring Pounds, empresa indiana que administra duas plataformas de cupons de desconto e programas de cashback, deixou expostos dados pessoais e bancários de aproximadamente 3,5 milhões de clientes da Índia e do Reino Unido — no total, estima-se que o vazamento pese 2 TB por conta do grande volume de registros. A descoberta foi feita pela equipe da Safety Detectives e compartilhada em primeira mão com a The Hack.

As informações em questão se encontravam hospedadas em um servidor Elastic Server que, por conta de uma configuração errônea, se encontrava público para qualquer pessoa que obtivesse seu endereço web. Os dados vazados incluem nome completo, números de telefone, email, credenciais em texto simples (sem hash), detalhes bancários ligados à conta, endereço IP e emails enviados pela Pouring Ponds aos clientes afetados.

(Reprodução: Safety Detectives)

Além do site oficial da companhia (pouringponds.com), também foram vazadas informações de sua plataforma subsidiária, a cashkaro.com. Tudo indica que a exposição perdura desde agosto de 2019. A empresa em questão, de início, se recusou a retornar os contatos da Safety Detectives — porém, no momento em que esta reportagem foi escrita, ambos os sites citados se encontravam fora do ar. Não sabemos ao certo se o servidor desprotegido já foi derrubado ou não.

"Deitar e rolar"

O vazamento da Pouring Ponds é um caso gravíssimo. Como se não bastasse a exposição de dados pessoais (informações cadastrais, que podem ser usadas em golpes de phishing ou fraudes de impersonalização), o incidente também vazou as credenciais de acesso dos usuários, o que permite que qualquer criminoso acesse contas e resgate créditos para uma conta do PayPal, por exemplo.

(Reprodução: Safety Detectives)

Configurações errôneas em ambientes na nuvem, infelizmente, podem ser categorizadas como o principal problema de 2019. Nós, da The Hack, já noticiamos uma série de casos similares com exclusividade, incluindo a exposição de informações de funcionários da rede McDonald’s Brasil em um Elasticsearch desprotegido. Você pode conferir outros incidentes navegando em nossa categoria Vazamentos.


Fonte: Safety Detectives

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.