Startup da Oracle expôs bilhões de dados de usuários em servidor desprotegido

Uma startup chamada BlueKai, adquirida pela Oracle em 2014 por US$ 400 milhões (pouco mais de R$ 2,1 bilhões na conversão direta), acabou expondo bilhões de dados de usuários, ao deixar seus registros hospedados em um servidor desprotegido por senha e sem proteções específicas, cuja base de informações estaria acessível para qualquer um.

• Novo malware usa Discord para roubar informações pessoais e de cartão de crédito
• Golpe que promete almanaques grátis da Turma da Mônica faz quase 100 mil vítimas
• Vazamento de dados do Zoom compromete mais de 500 mil usuários

O descuido foi identificado pelo pesquisador de segurança digital Anurag Sen, que informou o caso à Oracle por meio de um intermediário: Roi Carthy, CEO da firma de cibersegurança Hudson Rock e ex-repórter do site Techcrunch. O site, aliás, revisou a base de dados aberta e confirmou a exposição da identificação de usuários, tais como nome completo, endereços residenciais e de e-mail e dados mais sigilosos, a exemplo de compras recentes online e até assinatura e desligamento de newsletters.

“Não há como reforçarmos o quão reveladores alguns destes dados são”, disse ao Techcrunch o especialista Bennett Cyphers, a serviço da Electronic Frontier Foundation (EFF). A Oracle já veio a público, comunicar que tomou medidas para atacar o problema, sem detalhar exatamente quais:

“A Oracle está ciente do relatório feito por Roi Carthy da Hudson Rock, relacionado a certos registros da BlueKai que estavam potencialmente expostos na internet”, disse a porta-voz Deborah Hellinger. “Ainda que, inicialmente, as informações oferecidas pelo pesquisador não contivessem dados suficientes para identificar o sistema afetado, uma investigação interna subsequentemente determinou que duas empresas não configuraram seus serviços de forma apropriada. A Oracle tomou as medidas necessárias para evitar que um problema deste tipo volte a ocorrer."

Se você não está familiarizado com a BlueKai, então, não se sinta sozinho, já que ela pertence ao tipo de empresa que normalmente fica fora dos holofotes. Basicamente, o negócio dela é o monitoramento de hábitos do internauta em sua navegação pela internet. Esta é uma forma simplista de dizer que a BlueKai rastreia suas atividades — redes sociais onde você mantém algum perfil, sites que você visita, compras online que você tenha feito e por qual e-commerce, newsletters via e-mail que você assina ou deixou de assinar… A startup junta tudo isso e vende para outras empresas, em busca de anúncios publicitários personalizados.

Isso por si já faz com que a empresa tenha um grande volume de informações — e a sua aquisição pela Oracle teria potencializado esse efeito. A empresa de Redwood City fundada por Larry Ellison também detém bancos de dados de perfis de consumidores, na maioria, empresariais. Assim, a BlueKai tem acesso a um número massivo de informações.

Prática silenciosa de monitoramento

De acordo com o TechCrunch, a startup emprega meios mais sorrateiros de monitoramento e rastreio, permitindo que alguns sites incorporem imagens praticamente invisíveis, do tamanho de um pixel, que coletam informações sobre o seu sistema, logo na primeira URL aberta. Isso refere-se ao seu computador, marca, hardware da máquina, sistema operacional, navegador utilizado e até informações da rede pela qual você está conectado. Ah, e ela também tem a capacidade de “amarrar” as atividades do seu navegador do smartphone ao computador pessoal, desde que você use ambos pela mesma rede. Assim, a BlueKai consegue aferir os seus hábitos e dados, independente da plataforma usada.

Juntando isso com as chamadas “bases comuns”, é possível para uma empresa criar uma espécie de “impressão digital”, facilitando a sua identificação. Nada disso é necessariamente ilegal e muitas empresas seguem os mesmos padrões, mas o problema aqui era “onde” essas informações estavam guardadas — o referido “servidor desprotegido” mencionado mais acima.

Um exemplo: nos dados analisados pelo Techcrunch, o site identificou um homem alemão (nome evidentemente resguardado) que usou um cartão de crédito pré-pago para fazer uma aposta de 10 euros em um site de eSports. Tal registro trazia seu nome, o valor da transação, seu endereço residencial e de e-mail e também seu telefone — tudo isso sem que uma credencial fossse exigida.

A Oracle recusou-se a comentar se ela ou a BlueKai entraram em contato com os usuários afetados, também não informando se comunicou às autoridades norte-americanas sobre o incidente, como manda a legislação estatal da Califórnia, onde a empresa tem seu quartel-general.

Fonte: Techcrunch