Relatório: violação de dados da Freedom Mobile expõe de até 1,5 milhão de clientes

A equipe de pesquisa do vpnMentor recentemente descobriu que a Freedom Mobile sofreu uma enorme violação de dados.

Liderados pelos hacktivistas Noam Rotem e Ran Locar, os pesquisadores do vpnMentor descobriram uma brecha que expôs dados pessoais de até 1,5 milhão de usuários ativos da Freedom Mobile. A Freedom Mobile (ex-Wind Mobile) é o quarto maior provedor de serviços de comunicação wireless do Canadá.

O banco de dados estava completamente desprotegido e não criptografado. Os dados incluem números de cartões de crédito e códigos CVV.

Cronologia da descoberta da brecha e reação

• 17 de abril: descobrimos o vazamento no banco de dados da Freedom Mobile.
• 18 de abril: enviamos um e-mail à Freedom Mobile para informar a empresa sobre a grande violação de dados. Não obtivemos resposta.
• 23 de abril: tentamos contatar a Freedom Mobile novamente.
• 24 de abril: a Freedom Mobile finalmente responde às nossas mensagens.
• 24 de abril: a Freedom Mobile corrige a brecha nos dados.

Exemplos de entradas no banco de dados

De forma similar ao banco de dados desprotegido Elasticsearch da Gearbest, o banco de dados da Freedom Mobile estava completamente não criptografado. Nós obtivemos acesso total a mais de 5 milhões de registros, os quais correspondem a até 1,5 milhão de usuários.

Estes registros parecem refletir qualquer ação realizada dentro de uma conta de usuário, permitindo várias entradas por cliente.

Os dados pessoais expostos incluem:

• endereço de e-mail
• telefone residencial e celular
• endereços residenciais
• data de nascimento
• tipo de cliente
• endereço IP conectado ao método de pagamento
• números de cartões de crédito e códigos CVV não criptografados
• respostas sobre perfis de crédito provenientes da Equifax e de outras empresas, com motivos para a aceitação/rejeição

Também conseguimos acessar números de contas, datas de assinaturas, datas de ciclos de pagamentos e registros de serviços de suporte, incluindo localizações.

Algumas entradas também continham dados a partir de um banco de dados da Equifax. Eles incluíam informações sobre perfis de crédito, classes de crédito e contas de cartões de crédito.

Impacto da violação de dados

Ironicamente, a Freedom Mobile se orgulha de oferecer altos níveis de privacidade. Isso está exposto até mesmo na biografia da empresa no Twitter:

No entanto, eles claramente compartilharam - excessivamente – os dados de seus clientes.

Após descobrirmos a violação de dados, rapidamente alertamos a Freedom Mobile sobre o problema. Ao não obtermos nenhuma resposta imediata, pedimos a alguns conhecidos de outro site de segurança para nos ajudar a entrar em contato com a empresa – caso nossos e-mails estivessem caindo na pasta de spam. Como eles eventualmente responderam, sabemos que essa questão do spam não foi o caso.

Por motivos éticos, não baixamos o banco de dados. Portanto, não sabemos exatamente quantas pessoas foram afetadas.

Entretanto, conseguimos acessar pelo menos 5 milhões de registros desprotegidos. A Freedom Mobile possui pelo menos 1,5 milhão de assinantes, e sua matriz é de propriedade da Shaw Communications – que conta com mais de 3,2 milhões de clientes em todo o Canadá. Este pode ser o maior caso de violação de dados já sofrida por uma empresa canadense.

É raro encontrar um vazamento que detalhe tanto as informações de cartões de crédito quanto códigos CVV em conjunto, principalmente em uma violação de dados tão extensa.

Como este vazamento de dados inclui informações não criptografadas sobre cartões de crédito, a Freedom Mobile está potencialmente infringindo as regras de conformidade da PCI (indústria de cartões de pagamento). Isso pode resultar em sérios impactos reais, tanto para a empresa quanto para seus usuários.

Perigos dos hacks

Um banco de dados completo com dados de cartões de crédito, datas de nascimento, nomes completos, endereços e números telefônicos também permite fraudes de cartão de crédito e roubos de identidade. Isso pode custar aos usuários – e a seus bancos e empresas de seguro – centenas de milhares de dólares.

Um banco de dados com informações pessoais não criptografadas é um recurso valioso para hackers. O acesso a endereços, e-mails, telefones e dados de crédito pode ajudar agentes maliciosos a executar esquemas de phishing sofisticados.

Informações de crédito ainda possibilitam ataques de ransomware altamente segmentados, pois pessoas de má fé sabem quando podem exigir altos valores.

Até mesmo o usuário mais cuidadoso não poderá se defender contra uma empresa que salve seus dados em um banco de dados não seguro. A melhor maneira que descobrimos é usar um cartão, conta ou código CVV temporários associados à sua conta. Veja nosso guia completo para obter mais informações.

Sobre nós e relatórios anteriores:

O vpnMentor é o maior site de avaliações de VPNs do mundo. Nosso laboratório de pesquisa realiza um serviço voluntário que se esforça para ajudar a comunidade online a se defender contra ciberameaças – e simultaneamente instruir as empresas a proteger os dados de seus usuários.

Recentemente, descobrimos uma enorme violação de dados que impactou 80 milhões de residências nos EUA. Também revelamos que a Gearbest sofreu uma enorme violação de dados. Além disso, leia nosso Relatórios de Vazamentos de VPNs  e o Relatório de Estatísticas de Privacidade de Dados.

Compartilhe este relatório no Facebook ou faça um tweet dele.