Dados de empresas e milhões de clientes da brasileira WSpot foram expostos em vazamento

A equipe de pesquisa SafetyDetectives descobriu um vazamento de dados significativo afetando a WSpot, empresa brasileira de software que fornece uma solução de gerenciamento WiFi e permite às empresas controlar várias funções de sua rede WiFi local e roteador.

O Amazon S3 Bucket mal configurado da WSpot foi deixado em aberto, expondo informações confidenciais de potencialmente milhões de brasileiros, de acordo com a empresa de segurança cibernética.

O software de gerenciamento de WiFi da WSpot fornece segurança e controle adicionais para empresas que permitem que os hóspedes se conectem ao Wi-Fi sem uma senha. Entre os serviços disponíveis pela empresa de Campinas (SP) está a autenticação do cliente por meio de um portal cativo, coleta de dados aprimorada e limites de largura de banda personalizáveis.

De acordo com a SafetyDetectives, o servidor Amazon S3 Bucket foi deixado sem nenhum procedimento de autenticação em vigor, comprometendo mais de 226 mil arquivos, totalizando 10 GB de dados. Entre os registros desses arquivos está uma série de dados confidenciais e pessoais relacionados aos clientes da WSpot e seus visitantes. Os dados incluem nome completo, endereço de e-mail, endereço completo e números de registro de contribuinte.

Entre os clientes da WSpot estão o banco Sicredi e a Unimed.

O vazamento foi descoberto no dia 2 de setembro pela empresa de segurança cibernética e revelado no dia 7 de setembro para a WSpot, que confirmou a violação no dia seguinte.

Ao site ZDNet, a WSpot disse que o problema foi causado por uma “falta de padronização no gerenciamento de informações [armazenadas] em uma pasta específica”. A empresa reiterou que tem trabalhado para resolver o problema desde que foi contatada a respeito até a conclusão dos procedimentos técnicos em 18 de novembro, diz a publicação.

A WSpot também informou ao ZDNet que o problema afetou 5% de sua base total de clientes e nenhum de seus clientes teve negócios e/ou informações confidenciais comprometidas, que seus servidores permanecem intactos e que não há evidências de que os dados expostos foram acessados por cibercriminosos. Uma empresa de segurança também foi contratada pela empresa para investigar todas as repercussões em relação aos dados vazados no incidente.

Para tranquilidade dos clientes de seus clientes, a WSpot reiterou que não captura informações financeiras, como detalhes de cartão de crédito ou credenciais de acesso a outros serviços.

De acordo com um porta-voz da WSpot, a Autoridade Nacional de Proteção de Dados ainda não foi contatada sobre o incidente, diz o ZDNet, no entanto, “todas as questões legais em torno do caso estão sendo tratadas pela WSpot da forma mais completa possível, especialmente para determinar os próximos passos”.

Com informações de ZDNet