Você já imaginou seus dados pessoais expostos na internet por um erro grave de segurança? Pois é, isso aconteceu com milhares de pessoas devido a uma falha bizarra em um site da Allstate, uma grande seguradora americana. A história é tão inacreditável que vale a pena a gente entender o que aconteceu.
O Estado de Nova York processou a Allstate por causa de um site da sua unidade National General, que oferecia orçamentos de seguros. Acontece que esse site tinha uma falha grotesca: ele exibia informações pessoais em texto simples, facilmente acessíveis por qualquer pessoa!
Como aconteceu a falha?
Para obter um orçamento, os usuários precisavam inserir nome e endereço. O site então buscava dados no banco de dados da LexisNexis Risk Solutions. O problema é que o resultado da busca, exibido na tela, incluía informações sensíveis, como número da carteira de motorista (CNH) do usuário e de todos os outros motoristas que moravam no mesmo endereço!
As consequências
Imagine a gravidade! Criminosos usaram bots para explorar essa vulnerabilidade e roubar dados de milhares de pessoas. Eles conseguiram números de CNHs e usaram essas informações para coisas como solicitar benefícios fraudulentos de desemprego e auxílio-pandemia.
A Resposta da Allstate
A Allstate disse que resolveu o problema há anos, após descobrir as vulnerabilidades e notificar as autoridades. Eles alegam ter contatado os clientes afetados e oferecido monitoramento de crédito gratuito.
Mas a resposta da empresa não apaga o que aconteceu. A empresa não detectou os ataques por mais de dois meses, e antes da resolução do problema, milhares de usuários já haviam sido vítimas de fraudes. De acordo com documentos do tribunal, antes mesmo de resolver esse problema, 12.000 números de CNH foram roubados. A National General também cometeu um erro semelhante em outra ferramenta de cotação, expondo dados de mais 187.000 pessoas.
Falhas de Segurança Críticas
- A Allstate não tinha ferramentas para bloquear os ataques automatizados.
- Não monitorava atividades suspeitas.
- Não notificou os mais de 9.100 novaiorquinos cujos dados foram comprometidos, violando leis estaduais.
- As senhas dos agentes eram enviadas por e-mail sem criptografia.
- As senhas eram muito fracas e não era exigida autenticação de dois fatores.
A ação judicial busca penalidades pela falha da empresa em implementar medidas de segurança de dados adequadas e notificar os consumidores, além de uma ordem judicial para impedir novas violações.
Esse caso serve como um alerta para todas as empresas: a segurança dos dados dos clientes deve ser prioridade! A priorização de lucros sobre a segurança de informações pode ter consequências desastrosas.
Compartilhe suas experiências com falhas de segurança que você já vivenciou!
Fonte: Theregister
