*O Telegraph expõe um banco de dados de 10 TB com informações do assinante

'The Telegraph', um dos maiores jornais e meios de comunicação online do Reino Unido, vazou 10 TB de dados depois de não conseguir proteger adequadamente um de seus bancos de dados.

As informações expostas incluem logs internos, nomes completos de assinantes, endereços de e-mail, informações de dispositivos, solicitações de URL, endereços IP, tokens de autenticação e identificadores exclusivos de leitores.

Bob Diachenko, o pesquisador que descobriu o conjunto de dados desprotegido em 14 de setembro de 2021, confirmou que pelo menos 1.200 contatos não criptografados estavam acessíveis sem uma senha no momento de sua análise.

 

                        Uma amostra dos registros expostos. Fonte: cooltechzone.com

 

Notavelmente, muitos desses casos dizem respeito a informações de registrantes de assinantes do Apple News, incluindo também senhas em texto simples.

O jornal foi contatado e alertado sobre a exposição imediatamente, mas demorou dois dias para responder e proteger o banco de dados.

A instância foi indexada em mecanismos de busca especializados em 1º de setembro de 2021, portanto, o período de exposição é de pelo menos três semanas. Isso é bastante tempo para que invasores e scanners automatizados localizem o banco de dados exposto e exfiltrem os dados contidos.

Afeta apenas um subconjunto de assinantes

Para aqueles de vocês que podem ter sido expostos como resultado desse vazamento de dados, o principal risco que estão correndo é ser enganado ou phishing por e-mail.

O vazamento das solicitações de URL também pode causar um risco de privacidade, pois alguém pode usá-las para construir o histórico de navegação dos usuários na plataforma de notícias.

Quanto às consequências para o The Telegraph, tokens de acesso roubados poderiam ser usados ​​por não assinantes para acessar conteúdo bloqueado atrás de seu acesso pago, mas eles poderiam resolver isso com uma reinicialização. 

Em resposta ao acima, The Telegraph emitiu a seguinte declaração sobre as descobertas de Diachenko:

Tomamos conhecimento dessa descoberta em 16 de setembro e tomamos medidas imediatas para proteger os dados. Uma investigação mostrou que apenas um pequeno número de registros foi exposto - menos de 0,1% de nossos usuários e entramos em contato com todos os usuários para aconselhá-los. A investigação também concluiu que, embora os dados tenham sido expostos, eles não foram violados, exceto pela descoberta postada pelo pesquisador. Somos gratos pelo trabalho de pesquisadores independentes que divulgam com responsabilidade as vulnerabilidades e exposições e que são vitais em nosso trabalho contínuo para proteger nossos ativos.

De acordo com esse comunicado, o número de indivíduos impactados é de 600, menos do que Daichenko viu expor. O Telegraph também afirma que nenhum deles corre qualquer risco de exploração, uma vez que Diachenko foi a primeira e a última pessoa a acessar o conjunto de dados confidenciais.

Por precaução, se você for assinante do The Telegraph, sugerimos que redefina sua senha e permaneça vigilante contra e-mails não solicitados que façam declarações ousadas ou peçam que você tome medidas urgentes para proteger sua conta.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment