Por mais difícil que seja imaginar, o vazamento massivo de dados — que parece incluir dados pessoais de todos nos EUA, Reino Unido e Canadá — foi ainda pior do que pensávamos.
Em uma falha de segurança verdadeiramente épica, os mesmos dados foram hospedados por uma empresa parceira que conseguiu publicar suas próprias senhas, permitindo que qualquer pessoa acessasse os dados…
Soubemos na semana passada do vazamento de cerca de 2,7 bilhões de registros.
Cada registro consiste nas seguintes informações – nome da pessoa, endereços de correspondência e número de previdência social, com alguns registros incluindo informações adicionais, como outros nomes associados à pessoa. Nenhum desses dados é criptografado.
Mas agora KrebsOnSegurança relata que um dos revendedores da empresa conseguiu publicar acidentalmente seus próprios detalhes de login para o banco de dados – bem ali na sua página inicial!
Outro corretor de dados do NPD que compartilha o acesso aos mesmos registros de consumidores publicou inadvertidamente as senhas de seu banco de dados de back-end em um arquivo que estava disponível gratuitamente em sua página inicial até hoje (…)
Um leitor alertou o KrebsOnSecurity que uma propriedade irmã do NPD — o serviço de pesquisa de antecedentes recordscheck.net — estava hospedando um arquivo que incluía os nomes de usuário e a senha do administrador do site.
Ainda assim, pelo menos seria impossível que as coisas piorassem, certo? Certo?
O arquivo exposto, que foi nomeado “members.zip”, indica que todos os usuários do RecordsCheck receberam inicialmente a mesma senha de seis caracteres e foram instruídos a alterá-la, mas muitos não o fizeram.
Como verificar seus dados e se proteger
Se você quiser verificar se seus dados foram expostos, residentes nos EUA podem usar um dos dois serviços de pesquisa gratuitos:
Infelizmente, nenhum dos dois oferece suporte a buscas por endereços no Reino Unido ou Canadá.
Como o banco de dados era um backup mais antigo, você pode descobrir que os dados que ele contém para você estão desatualizados. No entanto, se estiverem atualizados, é recomendável que você congelar seu crédito. Isso deve evitar que alguém roube sua identidade para solicitar empréstimos ou cartões de pagamento em seu nome, pois todos os pedidos devem ser recusados.
Foto por Bruno Aguirre sobre Desaparecer
FTC: Usamos links de afiliados automáticos para geração de renda. Mais.
