Segurança

Vazamento em empresa de Wi-Fi expõe dados de milhares de brasileiros

Nome, endereço, e-mail e CPF podem ter sido entregues a criminosos devido a falha da empresa de Wi-Fi WSpot

By - Renata Aquino, 23 novembro 2021 às 11:09

Dados de milhares de brasileiros que acessaram redes Wi-Fi em estabelecimentos comerciais vazaram esta semana. A falha aconteceu na empresa WSpot, que faz a instalação e gerenciamento de redes de internet sem fio.

A WSpot é uma empresa de Campinas, no interior de São Paulo, que monta redes Wi-Fi em estabelecimentos comerciais que querem oferecer conectividade a seus clientes.

As redes que a empresa fornece prometem segurança aos consumidores e acesso sem a necessidade de digitar senhas. O vazamento foi descoberto pela empresa SafetyDetectives.

Os profissionais de segurança descobriram que a WSpot havia configurado incorretamente uma instância do Amazon Web Services (AWS) S3, que ficou exposta e expôs mais de 10 GB de dados para o público. Com a descoberta do vazamento, em 2 de setembro, os pesquisadores contataram a WSpot em 7 de setembro. A empresa teria corrigido a falha no dia seguinte.

Cerca de 226.000 arquivos foram expostos com o vazamento. Informações pessoais de 2,5 milhões de pessoas que se conectaram às redes públicas fornecidas a clientes da WSpot. Entre os clientes da empresa estão a empresa financeira Sicredi e a companhia de saúde Unimed.

A informação exposta incluía todos os dados necessários para que fosse possível se conectar às redes Wi-Fi da empresa. Nome completo, e-mail, endereço e CPF foram expostos, incluindo informações de login escolhidas por cada usuário.

Resposta da empresa sobre o vazamento de dados

Vazamento Wi-Fi

Imagem: Unsplash

A WSpot confirmou a falha, em entrevista à ZDNet. O problema teria sido causado por uma falta de padronização no gerenciamento da informação armazenada em uma pasta. A empresa reiterou que trabalhou para resolver o problema e controlar danos desde que foi contatada e até o último dia 18 de novembro.

A WSpot afirmou que seus servidores estiveram intactos e não foram invadidos por criminosos, dizendo que não há provas que os dados foram obtidos por terceiros. No entanto, a empresa de redes afirmou que contratou uma empresa de segurança para investigar todas as possíveis repercussões do vazamento.

A empresa afirma ainda que o problema impactou apenas 5% de seus clientes e nenhum deles teve informações de negócios ou sensíveis comprometidas. Além disso, reiterou que não captura dados financeiros como detalhes de cartão de crédito ou credenciais de acesso a outros serviços.

Ainda não há informação se a empresa irá comunicar aos indivíduos expostos sobre o incidente.

A Autoridade Nacional de Proteção de Dados (ANPD), que acompanha violações da Lei Geral de Proteção de Dados (LGPD), ainda não havia sido comunicada sobre o incidente, de acordo com a WSpot.

Posicionamento da WSpot

A WSpot enviou uma nota oficial sobre o caso, através de sua assessoria de imprensa. De acordo com a empresa, “não houve vazamento mas uma exposição irregular de dados que não afetou os dados das empresas, somente de pessoas que acessaram o Wi-Fi”.

Reproduzimos a nota na íntegra:

“A WSpot informa que está ciente e reconhece a existência de um problema de exposição irregular de dados de cadastro de uma pequena parcela de usuários de redes Wi-Fi de alguns de nossos clientes. O problema foi detectado em 7 de setembro e mitigado no dia seguinte, com a finalização dos processos de correção ocorrendo em 18 de novembro. Ademais, a WSpot contratou especializada em segurança da informação especificamente para uma investigação completa sobre os dados.

Primeiramente, explica-se que a empresa não faz a captação de dados de movimentação financeira. Também se esclarece que não foram desprotegidas quaisquer senhas de cadastro, dados de cartão de crédito ou outras formas de pagamento, bem como o acesso a plataformas terceiras e de uso pessoal.

É importante destacar que os servidores da WSpot se mantêm intactos e não foram invadidos por agentes terceiros maliciosos. Nesse sentido, nossa plataforma permanece dentro dos mais rígidos padrões de segurança. E ainda: não se confirmou que os dados expostos chegaram, de fato, ao domínio de pessoas e grupos mal-intencionados.

Explica-se que o ocorrido se deveu a uma falta de padronização no manejo de informações em uma pasta específica de um dos recursos de nosso sistema, questão esta já resolvida logo após a detecção do problema.

Ressalta-se que a questão afetou apenas 5% de nossa base total de clientes, sendo que nenhum deles teve informações empresariais e/ou sensíveis comprometidas.

Reitera-se o compromisso da WSpot com a observância das normas vigentes no país, em especial alusão à Lei Geral de Proteção de Dados Pessoais (LGPD), bem como no dever de transparência com nossos clientes e nossos parceiros”.

Atualização em 24/11/2021 12:38 – Correção realizada com retirada de nome da empresa Pizza Hut, que não é cliente da WSpot.

anpd dados LGPD vazamento Wi-Fi

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments

Matérias relacionadas

Dados de 533 milhões de usuários do Facebook vazam na internet

23 aplicativos para Android deixaram dados de milhões de usuários expostos

Audacity: programa pode vender dados dos usuários

Veja Também

Segurança

Dados privados de população brasileira podem ter sido expostos novamente em vazamento
Imagem representativa mostra biscoitos (ou "cookies") em cima de um teclado de computador, em referência aos arquivos de navegação de internet dos usuários
Privacidade

Google já começou a desabilitar cookies de terceiros no Chrome
Logotipo da rede social Facebook
Tecnologia

Histórico de links: Facebook vai armazenar sites visitados pelos usuários para alimentar publicidade direcionada
Softwares

Google paga US$ 5 bi para pôr fim à ação coletiva por rastrear usuários no modo Incognito