O Lobo de Wall Street – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

A cadeia de academias baseada no Reino Unido, Total Fitness, foi acusada de segurança negligente, após a descoberta de um banco de dados não seguro contendo as imagens de 470.000 membros e funcionários – todas acessíveis para qualquer pessoa na internet, sem a necessidade de senha.

Um banco de dados de 47,7 GB pertencente ao clube de saúde foi descoberto pelo pesquisador de cibersegurança Jeremiah Fowler, que informou ao The Register que também encontrou imagens de documentos de identidade dos membros, detalhes bancários e de cartão de pagamento, números de telefone e até – em alguns casos – registros de imigração.

De acordo com o pesquisador, as práticas descuidadas na Total Fitness significavam que sérias questões precisavam ser feitas sobre como a empresa havia coletado as imagens dos clientes, como elas eram armazenadas, quem tinha acesso às imagens e por quanto tempo eram retidas.

“Quase todas as contas de redes sociais oferecem aos usuários a capacidade de ter um perfil privado e exercer um controle rígido sobre quem pode acessar seu conteúdo. No entanto, isso não parece ser o caso para as imagens enviadas pelos membros nas plataformas da Total Fitness”, disse Fowler. “É teoricamente possível que as imagens armazenadas no banco de dados interno sejam potencialmente retidas mesmo após serem excluídas pelo membro. Isso poderia explicar por que o banco de dados continha imagens de documentos sensíveis.”

Segundo Fowler, fotos altamente sensíveis de passaportes e contas de serviços públicos foram expostas no banco de dados não seguro.

A Total Fitness contestou a extensão da violação de dados, afirmando que as imagens dos membros compunham apenas um “subconjunto” do banco de dados e que a maioria das imagens não continha informações pessoalmente identificáveis.

Por sua vez, Fowler afirma que as imagens dos membros ocupavam cerca de 97% do banco de dados.

Independentemente de a Total Fitness ou o pesquisador de segurança retratarem com precisão a violação, não ficaria satisfeito se fosse uma imagem minha ou de meu filho que eu tivesse enviado acreditando que seria armazenada de forma segura e que então fosse exposta.

A Total Fitness afirma ter garantido agora a segurança do banco de dados, e a violação foi relatada ao órgão regulador de dados do Reino Unido, o Information Commissioner’s Office (ICO), para investigação.

Embora a Total Fitness alegue não haver evidências de acesso não autorizado ao banco de dados além do de Fowler, é evidente que o potencial para abusos definitivamente existia. As imagens expostas poderiam ser usadas para uma série de atividades criminosas, incluindo roubo de identidade, golpes românticos ou até mesmo a criação de deepfakes.

Organizações que desejam evitar violações semelhantes seriam sábias em seguir as melhores práticas, incluindo a implementação de controles de acesso robustos, minimização de dados, criptografia de dados e auditorias de segurança regulares.

Você também pode gostar

WhatsApp Chats irá em breve funcionar com outros aplicativos de mensagens criptografadas

Hackers Iranianos da MOIS por trás de Ataques Destrutivos na Albânia e em Israel

Vulnerabilidades do MS Exchange Server Exploradas para Implantação de Keylogger em Ataques Direcionados