Um aplicativo de carteira digital com milhões de usuários tornou-se a organização mais recente a ser capturada, armazenando dados de clientes em buckets inseguros do Amazon Web Services (AWS) S3.
Pesquisadores do vpnMentor descobriram cinco buckets mal configurados, contendo os dados pessoais de 14 milhões de usuários do aplicativo Key Ring.
O aplicativo Key Ring permite que os usuários carreguem e armazenem digitalizações e fotos de cartões de associação e fidelidade em uma pasta digital em seu dispositivo móvel. Também é comumente empregado pelos usuários como uma maneira conveniente de digitalizar e armazenar cópias de seus documentos de identidade, carteira de motorista, cartões-presente e cartões de crédito.
Os buckets mal configurados, definidos como “públicos” em vez de “privados”, continham 44 milhões de imagens carregadas pelos usuários do Key Ring.
Os dados expostos no vazamento de dados do Key Ring incluíam IDs governamentais, cartões de associação da NRA, cartões de identificação de maconha medicinal, cartões de crédito com todos os detalhes, incluindo os números CVV e cartões de seguro médico.
Outras informações expostas no vazamento de dados incluíam arquivos CSV detalhando listas de membros de importantes varejistas norte-americanos que usam o Key Ring como plataforma de marketing. Essas listas continham os dados de informações de identificação pessoal (PII) de milhões de pessoas.
As empresas cujos detalhes dos clientes foram expostos no vazamento incluem Walmart, Kleenex, La Madeleine Bakery, Foot Locker e Mattel.
Os pesquisadores do VpnMentor disseram que todos os arquivos do Key Ring que eles visualizaram também podem ser baixados e armazenados offline, tornando-os completamente não rastreáveis.
“Esses buckets S3 inseguros eram uma mina de ouro para os criminosos cibernéticos, tornando milhões de pessoas na América do Norte vulneráveis a várias formas de ataque e fraude”, disseram os pesquisadores.
“Não podemos ter certeza de que mais ninguém encontrou esses buckets S3 e baixou o conteúdo antes de notificarmos o Key Ring”.
Os pesquisadores do VpnMentor descobriram os buckets em janeiro de 2020 usando ferramentas de verificação na web.
“Depois que os detalhes do vazamento foram confirmados, contatamos imediatamente a Key Ring e a AWS para divulgar a descoberta e ajudar na correção do vazamento. Os buckets foram protegidos logo depois”, disseram os pesquisadores.
Como o Key Ring não inclui uma política de privacidade ou descrição de suas políticas de proteção de dados no site do aplicativo, é impossível determinar quais medidas eles seguem para proteger os dados do usuário.