A empresa britânica de telecomunicações e fornecedora de TV a cabo Virgin Media sofreu um incidente de segurança no qual pessoas não autorizadas tiveram acesso a um banco de dados mal configurado.
Como a própria empresa explicou, o banco de dados continha informações de contato de clientes (nome, endereço, e-mail e números de telefone), além de informações técnicas e relacionadas aos produtos dos clientes e solicitações feitas por meio de formulários no site web. Os dados expostos não incluíam senhas ou informações financeiras, como números de conta ou cartões de crédito.
No entanto, de acordo com o jornal Financial Times, que afirma ter tido acesso aos registros expostos, o banco de dados incluía cerca de 1100 cadastros de clientes que solicitaram bloquear ou acessar a determinados sites por meio de um formulário, no qual várias dessas solicitações estão relacionadas com pornografia, vídeos de extrema violência e sites de jogos de azar, entre outras páginas em que o acesso é restrito para menores. Além disso, esses registros detalham os sites que foram bloqueados ou ativados, juntamente com os nomes e outros detalhes dos respectivos clientes, o que poderia expor os usuários a uma possível tentativa de extorsão durante os dez meses em que o banco de dados esteve disponível de forma pública, explicou um pesquisador da TurgenSec, uma empresa de segurança que descobriu o banco de dados.
"As informações eram em texto simples e sem criptografia, por isso, qualquer pessoa poderia acessar e baixar o banco de dados sem a necessidade de técnicas ou ferramentas especiais", explicou um representante da empresa de segurança ao jornal BBC. Por outro lado, o jornal The Register publicou uma das comunicações enviadas pela Virgin Media aos clientes afetados para informá-los sobre o que aconteceu, especificando que o banco de dados foi configurado de maneira insegura desde pelo menos 19 de abril de 2019, embora recentemente tenham detectado o acesso não autorizado às informações.
Embora o erro de configuração já tenha sido corrigido, a Virgin Media anunciou que lançará um serviço nos próximos dias para que os clientes possam verificar se foram ou não afetados pela falha. Enquanto isso, os usuários podem acessar um site publicado pela empresa com informações e recomendações relacionadas ao incidente.
Como podemos ver, bancos de dados mal configurados continuam dando o que falar. Este é um problema que não afeta apenas pequenas e médias empresas, como foi o caso da empresa de segurança Orsegups Participações S.A., que ocorreu na última semana, onde foram expostos 5 GB de dados de clientes e funcionários, mas é um problema que também afeta grandes empresas, como a Microsoft e a Adobe.
Notícias como esta sempre servem como um alerta para que as empresas possam verificar o status de configuração de seus servidores para evitar futuras dores de cabeça.