Um novo caso de uma base de dados mal configurada expõe informações pessoais de utilizadores na Colômbia, e evidencia a falta de importância dos aspetos de segurança desde a conceção de projetos.
Depois de vir a lume a notícia sobre a enorme quantidade de dados expostos por uma empresa no Equador como consequência de uma base de dados mal configurada, era de esperar que o caso pudesse servir de aprendizagem para uma grande maioria das empresas na América Latina, e que isso se traduzisse em processos de verificação das suas implementações, garantindo que as suas informações não fossem expostas – mas, aparentemente, isto não aconteceu.
Essa mesma esperança levou-nos a pensar, após os incidentes com o Wannacry, há mais de dois anos, que as empresas iriam corrigir as vulnerabilidades das PME, atualizando os seus sistemas operativos, mas hoje ainda vemos deteções do exploit EternalBlue. Pensarão as empresas realmente na segurança da informação desde o início dos seus projetos?
Há algumas semanas, fomos contatados pela equipa do The Hack com a suposta informação de que teriam sido expostos dados de cidadãos colombianos na Internet. Após algumas verificações, confirmámos que se tratava mais uma vez de uma má configuração de um servidor ElasticSearch, que deixou exposta informações de mais de 2,4 milhões de utilizadores colombianos na Internet, acessível e sem necessidade de autenticação. Parte dessa informação consistia em nomes, endereços de e-mails, números de telefone e números de documentos de identidade.
Assim, após o contacto, o objetivo foi entrar em contato com as diferentes entidades na Colômbia para tentar identificar qual a empresa que estava com o problema em mãos e poder notificá-la a fim de evitar que as informações continuassem expostas. Esta foi provavelmente a tarefa que mais tempo levou. Quanto mais tempo demorássemos a entrar em contacto com as empresas, mais tempo os dados permaneceriam públicos. Felizmente, o problema foi corrigido e as informações já não estão expostas.
Este incidente deixa claro, mais uma vez, que as empresas ainda não dão a devida importância à segurança dos dados desde o início dos seus projetos. Uma tecnologia será tão segura quanto o tempo necessário para a tornar segura.
Os casos recentes de instâncias do servidor ElasticSearch em empresas de países da América Latina devem servir como um alerta para todas as empresas que utilizam esta tecnologia verificarem o status de segurança das suas implementações.
Depois deste tipo de descoberta e do significado público que adquirem, o lógico deveria ser que houvesse uma diminuição de casos como este. Muito além das consequências negativas que estas tecnologias expostas podem ter, deve ser tomado como positivo saber quais são as possíveis vulnerabilidades e corrigi-las, para que casos como este não continuem a acontecer.
Ao falar sobre as informações pessoais dos utilizadores, as empresas devem garantir a sua segurança mais do que recursos e usabilidades das aplicações ou serviços. Os casos recentes de implementações inadequadas de tecnologias como o ElasticSearch, que vimos no Equador, Brasil, e agora na Colômbia, mostram que as preocupações das empresas se focam essencialmente no negócio e não tanto na segurança da informação. No entanto, este tipo de incidentes deve servir de lição para que as empresas dediquem mais tempo e disponibilizem das ferramentas necessárias para uma verificação das suas tecnologias e tornar a segurança num processo contínuo que atravesse todas as operações do negócio. Caso contrário, não só ficarão expostas a algo semelhante, como também às consequências de serem responsáveis por um incidente desta natureza.
Para além de não cumprirem com as regulamentações envolvidas em tais incidentes, as empresas devem ter em consideração que os seus clientes e utilizadores podem ser expostos a uma grande variedade de ataques dirigidos de engenharia social, caso essas informações caiam nas mãos erradas.
Esperamos que este caso sirva mais uma vez como um lembrete de como é importante para as empresas avaliar os seus sistemas de informação e como os mesmos são configurados. A implementação de uma tecnologia que fornece as ferramentas para desenvolver atividades operacionais, como neste caso o ElasticSearch, não deve perder de vista a necessidade de confirmação de que possuem as configurações adequadas para que não fiquem expostas as informações da empresa. Todos estes incidentes lembram-nos a importância de pensarmos em segurança desde o início de qualquer projeto.