A Freedom Mobile, a quarta maior rede de telecomunicações móveis do Canadá, sofreu uma violação de dados que deixou os dados dos clientes vulneráveis.
O vazamento foi rastreado até um servidor Elasticsearch por pesquisadores de segurança, que encontraram cinco milhões de contas contendo dados de clientes. De forma alarmante, o banco de dados não era protegido por senha, o que significa que qualquer um poderia acessar as informações.
Os hacktivistas “éticos” revelaram que a empresa de telefonia móvel levou uma semana para obter a proteção padrão após destacar as vulnerabilidades do servidor.
O banco de dados envolvido é relatado como um componente dentro de um sistema de login que a empresa utilizava para detectar problemas de funcionamento ou falhas nos sistemas de TI da empresa. Ele também observou quaisquer erros e as informações de texto simples vinculadas a ele, incluindo detalhes pessoais e privados dos clientes.
Acredita-se que os dados expostos incluam nomes de clientes, endereços de e-mail, números de telefone, endereços residenciais, datas de nascimento, informações de perfil do cliente e códigos de conta Freedom Mobile.
Os registros também contêm respostas a verificações de crédito canalizadas por meio da agência de classificação de crédito, Equifax, e contêm detalhes sobre se um pedido foi aceito ou rejeitado, juntamente com os fatores que justificam essa decisão. Números de cartão de crédito, datas de validade e códigos de verificação também foram armazenados em texto simples e nenhum dos registros foi criptografado.
Cerca de 1,5 milhão de cidadãos canadenses usam o Freedom Mobile, confiando na empresa para manter seus dados seguros. Chethan Lakshma, porta-voz da empresa-mãe da empresa, Shaw, revelou que cerca de 15.000 clientes foram afetados pelo lapso.
“Descobrimos que os dados expostos estavam contidos em um número muito pequeno de clientes que abriram ou fizeram alterações em suas contas em 17 locais de varejo da Freedom Mobile de 25 de março a 15 de abril, e quaisquer clientes que fizeram alterações ou abriram contas em 16 de abril.
“Nossa investigação revelou que uma quantidade muito limitada de dados de clientes da Freedom Mobile foi exposta como resultado de um servidor mal configurado gerenciado pela Apptium, um novo provedor de serviços terceirizado que a Freedom Mobile contratou para otimizar nossos processos de suporte ao cliente de varejo”, acrescentou. .
Uma investigação aprofundada foi lançada sobre o incidente, acrescentou o porta-voz.
No início de 2019, os hacktivistas por trás dessa última descoberta expuseram um vazamento de dados causado pela empresa de compras chinesa Gearbest, que comprometeu dados relacionados a milhões de transações de clientes. Os pesquisadores, Ran Locar e Noam Rotem agora estimam que a violação do telefone celular canadense pode ser uma das maiores da história do país. Em 2017, a Bell Canada sofreu uma violação de dados na qual mais de 1,9 milhão de registros foram roubados por hackers.
Um porta-voz da autoridade de proteção de dados do Canadá, o Office of the Privacy Commissioner, disse que “recebeu um relatório de violação relacionado ao Freedom Mobile”, acrescentando que “examinará o relatório para determinar os próximos passos”.
