Fábio Castro, pesquisador de segurança que recentemente descobriu o caso de fuga de dados da SKY que está sendo investigado pelo Ministério Público (MP), publicou em sua conta no Twitter o suposta vazamento de dados de um servidor pertencente ao Grupo BCI, que armazena informações de um conglomerado de empresas brasileiras. O servidor atingido continha informações pessoais, físicas e jurídicas dos usuários, como número de RG, data de nascimento, e-mails e telefones.

De acordo com as informações publicadas pelo pesquisador na rede social, o servidor não se encontra mais disponível, o que leva a supor que o problema tenha sido corrigido ou que o servidor foi desativado.

Para Daniel Barbosa, pesquisador de segurança da ESET, assim como diversas empresas que já sofreram com incidentes de vazamento de dados, supostamente o Grupo BCI deixou o servidor, que contém informações sensíveis de usuários, acessível pela Internet. “Cibercriminosos possuem diversas formas de procurar por servidores na Internet como sites de varreduras de serviços, onde é possível filtrar as buscas por país, estado, cidade e até a versão específica de serviço que o alvo tem ativo. Através desses tipos de sites é possível encontrar e acessar servidores, fazendo uso de suas informações internas quase sem restrições”, destacou.

Daniel também enfatizou que a lei de proteção de dados pessoais no Brasil determina que as empresas devem garantir controles estritos para o tratamento das informações dos usuários. “Todos os servidores que contenham informações sensíveis, como por exemplo dados de clientes, não devem ser acessíveis via Internet e seu acesso interno deve ser rigorosamente controlado”.

No ano passado, tivemos outros casos de fugas de dados de usuários brasileiros, como o servidor que expôs o número de CPF de milhões de usuários na Internet durante alguns meses. A falha ocorreu devido a um servidor mal configurado que continha as informações.