Uma falha de configuração pela empresa WSpot, que fornece soluções de gerenciamento de redes Wi-Fi, resultou no vazamento de dados de milhões de brasileiros, de acordo com um relatório divulgado no início desta semana.
As soluções oferecidas pela WSpot permitem que empresas administrem diversas funções de seus roteadores e redes Wi-Fi locais, permitindo, inclusive, o acesso à internet gratuito para clientes.
Os três principais serviços disponíveis são: autenticação de clientes por meio de um portal, coleta de dados aprimorada e limites de largura de banda personalizáveis.
Localizada em Campinas-SP, a WSpot possui clientes de grande porte, como a rede de fast-food Pizza Hut, a instituição financeira Sicredi e a operadora de planos de saúde Unimed.
De acordo com a SafetyDetectives, que identificou o problema, o vazamento de dados ocorreu devido a uma falha de configuração que deixou o servidor Amazon S3 Bucket, plataforma de armazenamento em nuvem utilizada pela WSpot, sem nenhum procedimento de autenticação ativo.
10GB de dados comprometidos
Apesar do relatório ter sido divulgado apenas esta semana, a falha foi descoberta no dia 2 de setembro, sendo que a SafetyDetectives alertou a WSpot em 7 de setembro, permitindo que o erro fosse reparado no dia seguinte.
Ainda assim, o incidente expôs cerca de 10GB de dados, contendo 226 mil arquivos, incluindo informações pessoais de cerca de 2,5 milhões de pessoas que utilizaram as redes Wi-Fi públicas de algum dos clientes da WSpot.
A SafetyDetectives relata que os dados vazados foram fornecidos pelas vítimas durante o processo de cadastramento no portal da WSpot para acessar o Wi-Fi gratuito oferecido pelas empresas em locais públicos. Essas informações incluem nome, e-mail, endereço, telefone, data de nascimento e CPF.
Foram identificados dois tipos diferentes de arquivos expostos no banco de dados aberto: SMS logs e relatórios de visitantes. O primeiro deles está associado ao vazamento de credenciais, já que esses registros contêm os detalhes de login que são enviados via SMS para as pessoas que estão criando uma conta WSpot.
Já uma planilha dos relatórios de visitantes em formato .csv confirma que o vazamento ocorreu em redes locais, visto que os endereços IP dos usuários que aparecem no documento são todos locais, indicando que eles foram coletados por roteadores dentro de uma rede privada para identificar os dispositivos conectados.
Riscos de cibersegurança
O relatório da SafetyDetectives ressalta que é difícil estimar um número exato de pessoas que podem ter sido impactadas pelo vazamento de dados, considerando que muitos arquivos e credenciais estavam duplicados.
Ainda assim, acredita-se que cerca de 2,5 milhões de brasileiros foram afetados, e a empresa de pesquisa de segurança alerta que todos os envolvidos podem ser alvo de crimes, dada a natureza das informações vazadas.
Ainda de acordo com a SafetyDetectives, não há informações sobre hackers terem acessado ou não o servidor durante o período em que esteve vulnerável. No entanto, os dados expostos pela WSpot podem levar a futuros casos de phishing, golpes e roubos de conta.
Apesar da WSpot afirmar que está em linha com a Lei Geral de Proteção de Dados (LGPD), a SafetyDetectives pontua que a empresa ainda pode ser punida pela legislação pelo fato de ter colocado clientes em risco após o vazamento de dados.