Depois que veio à tona a notícia sobre a enorme quantidade de dados expostos por uma empresa no Equador como consequência de um banco de dados mal configurado, como um profissional que trabalha com assuntos relacionadas à cibersegurança, eu esperava que o caso pudesse servir como uma experiência de aprendizagem para as empresas na América Latina para que iniciem um processo de verificação de suas implementações, garantindo que suas informações não fossem expostas – mas, aparentemente, isso não aconteceu.

Essa mesma esperança me levou a pensar, após os incidentes com o Wannacry, há mais de dois anos, que as empresas iriam corrigir as vulnerabilidades das SMBs, atualizando seus sistemas operacionais, mas hoje ainda vemos detecções do exploit EternalBlue. Então, as empresas realmente estão pensando em segurança da informação desde a concepção de seus projetos?

Colômbia e um caso recente de exposição de informações pessoais de mais de 2 milhões de pessoas

Há algumas semanas, fomos contactados pela equipe do The Hack com a suposta informação de que haviam sido expostos dados de cidadãos colombianos na Internet. Após algumas verificações, confirmamos que se tratava de uma instância do servidor ElasticSearch mal configurada que estava deixando exposta informações de mais de 2,4 milhões de usuários colombianos na Internet, sem a necessidade de autenticação. Parte dessa informação consistia em nomes, endereços de e-mails, números de telefones e números de documentos de identidade.

Screenshot mostrando o número de usuários afetados e parte dos dados expostos.

Assim, a partir desse momento, o objetivo era entrar em contato com diferentes entidades na Colômbia para tentar identificar qual empresa estava tendo o problema e poder notificá-las a fim de evitar que as informações continuassem sendo expostas. Esta foi provavelmente a tarefa que nos levou mais tempo. Quanto mais tempo gastamos tentando nos comunicar com as pessoas certas dentro de cada organização para que nos ajudassem a resolver o problema, mais tempo os dados permaneceram públicos. Felizmente, o problema foi corrigido e as informações já não estão expostas.

Este incidente deixa claro, mais uma vez, que as empresas ainda não estão dando a devida importância para a segurança dos dados desde a concepção de seus projetos. Uma tecnologia será tão segura quanto o tempo necessário para torná-la segura.

Os casos recentes de instâncias do servidor ElasticSearch em empresas de países da América Latina devem servir como um alerta para todas as empresas que utilizam essa tecnologia para verificar o status de segurança de suas implementações.

Depois deste tipo de descoberta e do significado público que adquirem, o lógico deveria ser que houvesse uma diminuição de casos como este. Muito além das consequências negativas que estas tecnologias expostas podem ter, deve ser tomado como positivo saber quais são as possíveis vulnerabilidades e corrigi-las para que casos como este não continuem acontecendo.

Ao falar sobre as informações pessoais dos usuários, as empresas devem garantir sua segurança mais do que recursos e usabilidades dos aplicativos ou serviços. Os casos recentes de implementações inadequadas de tecnologias como o ElasticSearch, que vimos no Equador, Brasil, e agora na Colômbia, mostram que as empresas frequentemente priorizam seus negócios bem mais do que a segurança da informação. No entanto, esses tipos de incidentes devem servir de lição para que as empresas dediquem tempo e disponibilizem ferramentas necessárias para revisar suas tecnologias e tornar a segurança um processo contínuo que atravesse todas as operações do negócio. Caso contrário, não só ficarão expostos a algo semelhante como também às consequências de serem responsáveis por um incidente desta natureza.

Além de não cumprir com as regulamentações envolvidas em tais incidentes, as empresas devem ter em conta que seus clientes e usuários podem ser expostos a uma grande variedade de ataques de engenharia social direcionados, caso essas informações caiam em mãos erradas.

Esperamos que este caso sirva como um lembrete de como é importante para as empresas avaliar seus sistemas de informação e como eles são configurados. A implementação de uma tecnologia que fornece as ferramentas para desenvolver atividades operacionais, como neste caso o ElasticSearch, não deve perder de vista a necessidade de revisão, que tenha as configurações adequadas para não deixar expostas as informações que são administradas. Todos esses incidentes nos lembram a importância de pensarmos em segurança desde o início de qualquer projeto.