Dirigido por Noam Rotem, el equipo de investigación de vpnMentor descubrió una violación de datos que afectaba a una solución de software empresarial y exponía una base de datos que contenía archivos relacionados con una empresa financiera brasileña llamada Prisma Promotora.
Desafortunadamente, el propietario del software dejó una cuenta de almacenamiento en la nube conectada al software sin protección y accesible al público. Comprometió la información privada de 10,000 personas conectadas a Prisma Promotora, exponiéndolas a fraudes y otros peligros.
Segun las palabras del invetigador :" nuestro equipo descubrió originalmente un bucket de S3 de Amazon Web Services (AWS) no seguro que contenía más de 570 gigabytes de archivos y datos de una aplicación móvil."
Tras investigar la aplicación móvil, se determino que los datos pertenecían a un sistema de planificación de recursos empresariales (ERP) que utilizaba Prisma Promotora y que estaba conectado a la cuenta de AWS.
"Inicialmente contactamos a la compañía que asumimos era la propietaria del balde . Como no nos respondieron, nos comunicamos con AWS directamente para notificarle de la infracción. AWS a menudo notifica a los usuarios sobre infracciones y configuraciones incorrectas cuando no logramos hacerlo." informaron desde vpnMentor
Mientras tanto, continuamos investigando el bucket de S3 para confirmar algunos detalles adicionales. Después de algunas investigaciones adicionales, identificamos a Prisma Promotora como el supuesto propietario único de los datos expuestos, pero no al grupo S3 en sí. Debido a este descubrimiento, también nos contactamos con la empresa para notificarle el incumplimiento y el riesgo a sus clientes.
La brecha se cerró aproximadamente un mes después de esto.
Contenido de los datos
~ 105,000 archivos de audio y video
Las grabaciones de voz y los videos en portugués aparentemente pertenecientes a Prisma Promotionra fueron expuestos por la mala configuración del buclet.
Numerosas grabaciones de voz describieron las negociaciones para un contrato de préstamo, con los detalles de una persona y la información financiera explícitamente descrita, incluido el número de identificación y el número de cuenta bancaria.
En otra grabación de audio, se puede escuchar a una persona que trabaja en Prisma Promotora solicitando mucha información confidencial sobre un cliente por teléfono.
~ 608,000 archivos multimedia, incluidos fotos y videos
Las fotos contenían imágenes de fotos de tarjetas de crédito, documentos de identificación y más. No está claro cuál era el propósito de las personas que cargaban fotos de sus identificaciones y tarjetas de débito
~ 2,000 hojas de Microsoft Excel
Durante la investigación, se aprecio una pequeña muestra de hojas de Excel que contienen datos de PII (incluidos nombres, direcciones y números de teléfono) de más de 27.000 personas (debido a las entradas duplicadas, este número no es 100% exacto).
Debido a preocupaciones éticas (y para no violar más su privacidad), no pudimos estimar cuántas personas estuvieron expuestas en las 2000 hojas de Excel almacenadas en el depósito S3.
Archivo de copia de seguridad SQL
Además de los diversos tipos de archivos descritos anteriormente, el depósito S3 contenía una segunda base de datos SQL de respaldo del posible propietario del depósito.
Aunque es mucho más pequeña que el depósito, la base de datos SQL también contiene datos muy sensibles.
Se estima que la copia de seguridad de SQL contenía más de 500.000 archivos, cada uno de los cuales contenía varias formas de datos PII adicionales.
Algunas entradas también parecían contener credenciales de inicio de sesión para cuentas en la aplicación.
Archivos de aplicaciones móviles
El bucket de S3 también contenía varios archivos de aplicaciones móviles (archivos APK), que daban acceso indirecto al backend de la página de inicio de sesión para la aplicación ERP. Con este acceso, pudimos ver una base de datos SQL en vivo y ver su contenido.
La base de datos SQL expuesta aumenta significativamente la gravedad de la infracción y destaca la falta de protocolos de seguridad implementados por el propietario del depósito S3.
https://www.vpnmentor.com/blog/report-prisma-promotora-leak/
