Outra grande violação de dados foi divulgada por Troy Hunt. Em suas palavras, a violação na empresa de recrutamento global Michael Page tem muito em comum com o incidente da Cruz Vermelha australiana. Mais particularmente:
Foi o mesmo indivíduo que localizou os dados da Cruz Vermelha e a mesma história em termos de descoberta de um risco subjacente na extremidade do servidor; site exposto publicamente, lista de diretórios habilitada, .arquivos sql expostos.
A mesma pessoa contatada Caçar e forneceu a ele um arquivo de backup com dados sobre candidatos a emprego no Reino Unido. Ele então avaliou que todos os backups acessíveis têm mais de 30 GB de dados brutos. Quanto ao número de pessoas, o backup do Reino Unido tinha dados em 780,000 pessoas.
Os dados acessados continham o nome da pessoa, endereço de e-mail, (criptografado) senha, número de telefone, localização, informações sobre seu trabalho atual e mensagem de cobertura (se tal estivesse disponível).
O arquivo que recebi incluía nomes de tabelas indicando que, assim como acontece com a Cruz Vermelha, esta era a saída do mysqldump e neste caso continha nomes de tabelas apontando para Acquia, uma plataforma Drupal hospedada. Mais informações seguidas de capas de tela indicando vários outros campos e snippets de dados que você espera que as pessoas forneçam a uma empresa de recrutamento.
Hunt soube da violação em outubro 30. Ele imediatamente enviou as informações para a Capgemini, uma empresa de terceirização e provedor de TI da Michael Page.
O que Michael Page disse sobre o incidente?
Lamentamos informar que em 1 novembro 2016, fomos informados de que um terceiro não autorizado obteve acesso online ilegal a um servidor de desenvolvimento usado por nosso provedor de TI, Capgemini para testar sites do PageGroup. Lamentamos informar que os detalhes que você forneceu como parte de sua atividade recente no site foram identificados como alguns dos acessados.
Michael Page bloqueou o servidor imediatamente. Eles também garantiram todos os pontos de entrada possíveis. Uma investigação detalhada foi iniciada e a empresa pôde concluir que nenhum dado foi obtido com intenção maliciosa. A empresa solicitou ao terceiro para destruir ou devolver todas as cópias dos dados. Os dados foram então destruídos, Michael Page diz.
A empresa, Contudo, não reconheceu o período para o qual os dados estavam acessíveis online. Também não se sabe se partes com intenções potencialmente maliciosas encontraram os dados.
Considerando a intensidade dos incidentes de violação de dados, O conselho de Troy Hunt para as empresas é aproveitar a recompensa de bugs para consertar vulnerabilidades baixas, geralmente responsáveis pelos incidentes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: