Dados de quase 700 mil clientes da Amex Índia foram expostos no servidor MongoDB


Os detalhes pessoais de cerca de 700 mil clientes da American Express (Amex) na Índia ficaram expostos online acidentalmente no servidor MongoDB sem segurança e sem senha. O vazamento foi descoberto há três semanas por Bob Diachenko, diretor de pesquisa de risco cibernético da empresa de cibersegurança Hacken.

A maioria dos dados no servidor parecia ter sido criptografada e precisava de uma chave de decodificação para ser vista, mas o pesquisador afirma que 689.272 registros foram armazenados em texto simples e acessíveis a qualquer um que tenha encontrado o banco de dados.

Os registros em texto simples, afirma Diachenko, continham os dados pessoais dos clientes da Amex Índia, como números de telefone, nomes completos, endereços de e-mail e campos de descrição do tipo de cartão. Os dados não são muito sensíveis, mas podem ser mais do que úteis para potencializar uma campanha de spam.

Por outro lado, os registros criptografados, que totalizavam 2.332.115 entradas, continham mais informações pessoais. Com base no cabeçalho da tabela MongoDB, isso incluía nomes de clientes, endereços, números Aadhar, de cartões PAN e de telefone.

Outras tabelas (coleções) dentro do banco de dados MongoDB também expostas continham links e detalhes de acesso para contas no domínio americanexpressindia.co.in.

“Após um exame mais detalhado, estou inclinado a acreditar que o banco de dados foi gerenciado não pela Amex, mas por seus subcontratantes responsáveis pelo SEO ou pela geração de leads”, informa Diachenko. “Muitas entradas continham campos como ‘campaignID’, ‘prequalstatus’, ‘leadID’ etc.”

Diachenko disse à ZDNet que a Amex Índia derrubou o servidor com vazamento no mesmo dia em que ele notificou a empresa, embora ainda não esteja claro por quanto tempo o servidor ficou exposto.

No entanto, a Amex Índia disse que em investigação posterior não descobriu nenhuma “evidência de acesso não autorizado”, sugerindo que Diachenko pode ter sido a única pessoa que acessou o servidor durante sua exposição.

Diachenko disse ao ZDNet que ele não foi capaz de rastrear a empresa de geração de leads que gerenciou o servidor com vazamento, e a Amex Índia também não revelou essa informação.

A matéria da ZDNet informa ainda que o porta-voz da Amex Índia não estava disponível para comentários adicionais. Duas semanas antes de descobrir o servidor da Amex na Índia, Diachenko também descobriu um cluster não seguro da ElasticSearch que vazou milhões de registros da Mindbody, um dos maiores provedores de serviços de bem-estar dos Estados Unidos. Além disso, ele também encontrou vazamento de dados em uma empresa de consultoria de Maryland que administrava captação de recursos para o partido Democrata.

Fonte: ZDNet

Tradução e adaptação: Edilma Rodrigues

1 – Notas do tradutor: Aadhaar é um número de identidade único de 12 dígitos que pode ser obtido por residentes da Índia, com base em seus dados biométricos e demográficos (Fonte: Wikipedia)

2 – Permanent Account Number: código que atua como uma identificação para indivíduos, famílias e empresas (indianos e estrangeiros também), especialmente aqueles que pagam imposto de renda (Fonte: Wikipedia)


Fique atualizado em relação as principais notícias do setor. Inscreva-se na Newsletter e nos acompanhe nas Redes Sociais (Facebook, Linkedin e Twitter).