Dados de 50.000 clientes da Honda vazam de Bucket da Amazon S3. Agora foi a vez da subsidiaria da Honda na Índia enfrentar problema de vazamento de dados na Amazon AWS 3 bucket, desta vez dois servidores foram responsáveis por expor informações pessoais de dezenas de milhares de usuários.

Honda-Connect-App

Especialistas do Kromtech Security Center descobriram recentemente dois buckets inseguros Amazon AWS S3, ambos pertencentes à Honda Car India. Dentro deles foram encontrados bancos de dados desprotegidos contendo as informações pessoais para mais de 50.000 usuários do seu Honda Connect App. As informações incluem nomes, números de telefone, sexo, senhas e endereços de e-mail para usuários e seus contatos – sobre 50.000 usuários do Aplicativo Honda Connect contidos em bancos de dados desprotegidos que eram acessíveis ao público. VINs, Connect IDs e outros dados também foram expostos.

Nesse caso específico, as informações vazadas podem dar a um atacante acesso a tudo naquele telefone, mas especificamente a esse aplicativo quando associado a um Dispositivo conectado: onde o carro de alguém está localizado, para onde foi, para onde normalmente vão, como dirigem e onde começam e param em seus trajetos”, escreveram os pesquisadores da Kromtech em um post no blog. “Considerando como usamos nossos carros, isso pode dar a esse atacante conhecimento das atividades diárias do usuário, incluindo onde eles moram, trabalham, fazem compras e jogam, o que torna muito fácil perseguir alguém.” segundo a Kromtech, que disse ainda que a informação poderia ser facilmente usada para lançar um ataque de spearphishing direcionado.

O servidor exposto reitera uma advertência sobre como proteger dados armazenados por terceiros. “Enquanto a maioria das organizações considera fornecedores e contratados em seus programas de gerenciamento de riscos de terceiros, a realidade é que nossos ecossistemas digitais são muito maiores do que isso. Qualquer terceiro no ecossistema digital de uma empresa pode ser o elo fraco que dá aos invasores um caminho claro para os dados expostos ”, Fred Kneip, CEO da CyberGRX. “Nesse caso, os fracos controles de segurança de um afiliado levaram a ignorar uma vulnerabilidade que foi apontada há quase um ano às custas da reputação da Honda. As empresas globais geralmente interagem com dezenas de milhares de terceiros e é fundamental para elas obter uma melhor compreensão de quais desses terceiros representam o maior risco para seus dados.”, completou Kneip.

O que é o Honda Connect?

Honda Connect é um aplicativo de telefone inteligente que se orgulha de dar ao usuário uma sensação de segurança e proteção. As características incluem:

  • Alertas de serviço periódicos;
  • Reserva e atualização de serviço;
  • Sistema de feedback;
  • Revendas próximas;
  • Localizador de bomba de combustível;
  • Meus documentos (para armazenar documentos importantes para seu carro);
  • Fuel Log;
  • SoS (uma solução de um clique para que familiares e amigos saibam a sua localização exata em uma emergência);
  • Calculadora de Custos do Serviço;
  • Calendário do Carro (para lembrar da renovação do seguro, verificações de poluição e outras informações);
  • E quando emparelhado com um Dispositivo Conectado:
    • Monitoramento da Integridade do Veículo;
    • Localize o Meu Carro (localize a localização exata do seu veículo);
    • Análise de viagem (incluindo rota conduzida, paradas feitas, informações sobre tempos ociosos, frenagem, velocidade, aceleração e muito mais).

Notificação e resposta

A Kromtech notificou rapidamente a Honda Cars India e, embora tenha demorado um pouco, obtiverma uma resposta e a Honda Cars India garantiu, desde então, que o problema desses S3 Buckets foram resolvidos e finalmente estão seguros.

Amazon AWS S3

O Amazon S3 é um armazenamento de objetos criado para armazenar e recuperar qualquer quantidade de dados de qualquer local: sites e aplicativos móveis, aplicativos corporativos e dados de sensores ou dispositivos da IoT. O serviço foi projetado para oferecer resiliência de 99,999999999% e armazena dados para milhões de aplicativos usados por líderes de mercado em todos os setores.

Embora a Amazon afirme que “O S3 oferece recursos abrangentes de segurança e conformidade que cumprem até os requisitos normativos mais rigorosos“, a vários meses vimos noticiando aqui no Blog Minuto da Segurança constantes falhas nos Buckets da Amazon S3,  empresas de todos os portes falham na proteção dos dados em Cloud. No entanto, temos observado que todas as ocorrências até o momento tem sido devido a má configuração de segurança do serviço de cloud oferecido. Pesquisa aponta que Cloud Security preocupa 91% das organizações! Embora a adoção da computação em nuvem continue a aumentar, as preocupações de segurança não mostram sinais de redução. Depois de vários anos de uma tendência de queda, 90% dos profissionais de segurança cibernética confirmam que estão preocupados com a segurança na nuvem.

É preocupação não é infundada, empresas como Sears, Best Buy e Delta Airlines tiveram informações comprometidas por terceiros no final do ano passado.  Dados de 14milhões de clientes da Verizon foram expostos na Amazon AWS  no meio de 2017, o mesmo problema de AWS mal configurado expõs dados paypal e mídias sociais de influentes  e Informações de 1,3Milhões de clientes da Walmart vazam em Bucket da Amazon S3 de parceiro no início deste ano. Incluindo os serviços do governo de Los Angeles, não ficou fora deste problema, deixando 3,2 milhões de registros do serviço de ajuda de LA exposto na AWS.

Para combater os risco de vazamento de dados, que na maior parte está fora dos controles da Amazon (e os incidentes mostram isto), a gigante do setor de cloud, lançou o MACIE, um serviço de proteção de dados na AWS O Amazon Macie é um serviço de segurança que usa aprendizado de máquina para descobrir, classificar e proteger automaticamente dados confidenciais na AWS. O Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, fornecendo painéis e alertas que mostram os acessos e as movimentações desses dados.

Cadeia de Terceiros

Ao que tudo nos leva a crer, é que embora legislações apertem os cerco sobre a confidencialidade de dados, como o caso do GDPR na Europa, e as empresas estejam se esforçando para fortalecer seus controles de proteção de dados, ao mesmo tempo que expandem seus domínios e operações, algumas brechas tem sido deixadas de lado ou ao menos relegadas a um segundo nível de controles. A principal delas é a cadeia de terceiros que prestam serviços e operam coleta e manuseio de dados de seus clientes.

Este aumento de dependência de operações terceirizadas requerem um novo approach para as análises de risco de segurança. Não é mais suficiente os termos de confidencialidade e averiguação de políticas, é necessário um investigação, uma auditoria de segurança mais intensa e profunda nos recursos utilizados pelos terceiros e muitas vezes será necessário chegar ao terceiro que presta serviço ao nosso terceiro contratado, estabelecendo assim um controle sobre a cadeia de terceiros e provedores que estão envolvidos em nossa operação.

Isto nos faz lembrar e comparar com a recente greve de caminhoneiros no Brasil onde foi exposta de forma clara a interdependência de várias indústrias que uma vez afetada pela chegada dos insumos paralisaram tantas outras em um verdadeiro efeito dominó.

Fontes: SC Media, Kromtech, Honda e Minuto da Seguranç