This post is also available in: Português
Dados pessoais de mais de 100 mil pessoas que participaram de eventos online podem estar em risco por conta de uma falha de segurança no aplicativo de gerenciamento de eventos EventBuilder.
Segundo a empresa Clario Tech e o pesquisador de segurança Bob Diachenko, mais de um milhão de registros, milhares de arquivos CSV/JSON contendo informações pessoais de indivíduos que se inscreveram para eventos por meio do Microsoft Teams, podem ser expostos.
Os pesquisadores disseram que entre os dados estão números de telefone e endereços de e-mail.
Erro no armazenamento
O EventBuilder fornece um conjunto de ferramentas de webinar e serviços profissionais que funcionam perfeitamente com o Microsoft Teams, Teams Live Events e Skype for Business.
A ideia é estender sua funcionalidade fornecendo páginas de registro, segurança, gravação em nuvem e relatórios, para mencionar apenas alguns dos serviços disponíveis. Em suma, eles cobrem a logística do evento para que o cliente possa se concentrar no conteúdo.
Segundo postagem do Clario, a falha de segurança, que agora foi corrigida, surgiu em um recurso que permite que os hosts gravem sessões para acesso apenas por link, com os dados armazenados no Microsoft Azure Blob.
Um erro de configuração fez com que o sistema armazenasse os dados pessoais dos participantes em um Blob, potencialmente expondo-o a cibercriminosos.
De acordo com a Clario, os dados expostos incluem nomes completos, endereços de e-mail, nomes de empresas, cargos, números de telefone e respostas de questionários, fornecidas durante o webinar.
A falha foi descoberta usando um buscador público de buckets, o mecanismo de busca Grayhat Warfare.
Diachenko disse:
“As falhas são bastante graves. Estamos felizes por ter descoberto antes dos cibercriminosos, e alertado a empresa sobre o possível uso indevido dos dados para que eles pudessem repará-los antes que algo de ruim acontecesse”.
Isso é confirmado pela análise da empresa de segurança Pentest People, do Reino Unido.
Segundo o consultor sênior de desenvolvimento de serviço da Pentest People, Liam Follin:
“Examinei alguns dos dados brutos de violação usando ferramentas internas da Pentest People e também verifiquei a dark web em busca de evidências dos dados do EventBuilder sendo negociados. Até o momento, não havia nenhuma evidência que pudéssemos descobrir”.
Alvos atraentes
Especialistas em segurança alertam que violações semelhantes podem acontecer no futuro, especialmente à medida que mais aplicativos da web se conectam ao armazenamento em nuvem. Os eventos online também são alvos atraentes para os cibercriminosos, devido aos dados que eles coletam sobre os participantes.
Follin aconselha:
“Outras plataformas de eventos virtuais devem tomar cuidado com essa violação para evitar expor seus próprios usuários a ameaças cibernéticas. Certifique-se de que as soluções estão sendo testadas de maneira adequada e que a segurança respeita requisitos atuais de mercado”.
As organizações ou indivíduos que usaram o EventBuilder também devem ser cautelosos, especialmente se receberem e-mails ou chamadas inesperadas.
“Sempre reforço que nada melhor do que um funcionário instruído: um funcionário que segue as regras de segurança digital e gerencia os dados com responsabilidade – no escritório e em casa”, disse Diachenko.
O Pentest People’s também aconselha as organizações a investirem no monitoramento da dark web, pois isso pode detectar violações e ameaças emergentes antes que os dados caiam nas mãos dos criminosos.
Fonte: Clario.
This post is also available in: Português
