Dados de 60 mil usuários de lockers para encomendas teriam sido expostos
Vulnerabilidade na empresa de armários inteligentes CliqueRetire teria permitido acesso a dados como nome, e-mail, CPF e telefone de 60 mil pessoas
Uma vulnerabilidade nos sistemas da empresa CliqueRetire, especializada em lockers para recebimento de encomendas, teria exposto as informações de quase 60 mil usuários. Além de informações pessoais e registros de compras realizadas de clientes, informações internas e até sistemas da própria companhia também poderiam ser acessados a partir da falha de segurança.
- Deep web | Saiba como evitar que seus dados sejam vazados
- Saiba quais são as marcas mais imitadas em ataques de phishing
O volume de dados exposto incluiria nomes completos, e-mails, CPFs e telefones dos clientes, além de registros quanto a encomendas recebidas e a localização de armários inteligentes utilizados por eles. Além disso, no servidor que poderia ser acessado publicamente também estavam imagens internas da companhia, vídeos de funcionários operando a infraestrutura da empresa e até chaves de acesso a plataformas como AWS, TeamViewer e Github, que poderiam levar a novos ataques.
A exposição de dados foi descoberta pelo especialista em cibersegurança intitulado Sushi com Abacate, no Twitter, e apurada pelo site Tecmundo. Além do servidor com informações abertas, a análise também localizou uma API acessível sem as devidas proteções de segurança, podendo levar a ataques contra os sistemas da companhia.
Não se sabe desde quando os dados estariam expostos nem se eles chegaram a ser acessados ou reproduzidos por terceiros. No comunicado enviado ao Tecmundo, a CliqueRetire disse estar empenhada na avaliação dos pontos levantados pela análise de segurança e que passa por auditorias constantes em seus sistemas, em busca de maior segurança. Já ao especialista, a companhia também deu mais detalhes sobre a causa do problema, indicando falhas no processo de desenvolvimento em uma plataforma low-code.
Atualização 08/08/2023, 17h12: Em contato com o Canaltech, a CliqueRetire disse ter agido de forma imediata para investigar a vulnerabilidade de segurança e que não houve impactos na operação e estrutura dos sistemas, bem como acesso a bancos de dados. Ainda no comunicado, a empresa reforçou a realização de auditorias de tecnologia e se comprometeu a adotar as melhores práticas de segurança cibernética.
Atenção aos golpes com e-mails falsos
Dados pessoais como e-mails, CPFs e telefones não representam necessariamente informações sensíveis, já que estão disponíveis em tantos megavazamentos que atingiram os brasileiros nos últimos anos. Entretanto, a associação destas informações a dados de compras online pode levar a fraudes contra os usuários, a partir de mensagens de phishing e contatos fraudulentos.
Fala, meus amigos curiosos
Conforme prometido, trago mais informações sobre esse caso e detalhes sobre a exploração
Infelizmente, como a empresa nem sequer me responde (imagina fazer o fix) optei por não nomeá-la
Segue a thread 🧵⬇️ #bolhadev #bolhasec https://t.co/aTuQWkmuBF
— sushi com abacate (@sushicomabacate) July 27, 2023
Por isso, a recomendação é de atenção a contatos telefônicos, por e-mail ou mensagem instantânea relacionados a encomendas que estariam sendo recebidas nos lockers. Certifique-se sempre de que a comunicação tem origem legítima e evite realizar pagamentos ou entregar novas informações por tais meios, preferindo o contato direto com a companhia em caso de dúvidas ou suspeitas.
Além disso, é importante ficar atento a tentativas indevidas de acesso a sistemas online e prestar atenção em registros financeiros, em busca de movimentações suspeitas ou que não tenham sido realizadas pelo próprio cliente. Ao sinal de qualquer problema, reforce a segurança do perfil, com a alteração de senhas e uso de autenticação em duas etapas, ou entre em contato com a instituição financeira, de acordo com o caso.
Fonte: Tecmundo
Trending no Canaltech:
- Por que o PlayStation 5 Edição Digital não faz sentido no Brasil?
- Crânio encontrado na China pertence a espécie desconhecida de humano
- Vacina contra Alzheimer é eficaz em testes com animais
- iPhone 15 tem supostas fotos da porta USB-C vazadas
- 8 modelos de planilhas prontas para controle de gastos mensais
- Pais querendo batizar filhas de Barbie dispara 300% após o filme