- Violação por SL Data Services expôs 600.000 registros pessoais
- Os registros incluem nomes completos, endereços e informações financeiras
- O banco de dados não estava protegido por senha
Um banco de dados pertencente à SL Data Services contendo centenas de milhares de registros foi descoberto on-line e estava exposto publicamente e não estava protegido por senha ou criptografado.
Mais de 640.000 registros (713,1 GB) de arquivos PDF foram descobertos pelo pesquisador de segurança cibernética Jeremiah Fowler, que revelou que isso incluía registros de veículos, registros judiciais e relatórios de propriedade. Os documentos foram rotulados principalmente como “verificações de antecedentes” e incluíam nomes completos, endereços, endereços de e-mail, detalhes de emprego, contas de mídia social, números de telefone e antecedentes criminais.
Não está claro por quanto tempo as informações estiveram publicamente acessíveis, mas após o envio do aviso de divulgação responsável, as informações foram restritas uma semana depois. A base de dados pode pertencer a um terceiro contratante ou diretamente à SL Data Services.
Informações de verificação de antecedentes
Uma vez que a grande maioria das informações expostas provém de verificações de antecedentes, existe uma possibilidade muito real de que estas tenham sido realizadas sem o conhecimento ou consentimento do indivíduo cujas informações foram expostas.
Isto deixa muitas pessoas vulneráveis, especialmente a ataques de engenharia social, uma vez que os criminosos podem facilmente aproveitar informações sensíveis para enganar as vítimas, utilizando informações sobre familiares, informações financeiras ou registos de emprego.
Com a exposição de informações pessoalmente identificáveis tão extensas, também existe o risco de roubo de identidade, expondo as vítimas a graves perdas financeiras.
Ainda não há indicação de que os criminosos acessaram o banco de dados aberto ou coletaram informações confidenciais, mas agora que as informações foram restritas, os pesquisadores provavelmente monitorarão a dark web para ver se algum dos dados está listado para venda.
Esta não é a primeira violação de dados este ano por parte de uma empresa de verificação de antecedentes, já que a National Public Data sofreu uma das maiores violações de dados de todos os tempos em agosto de 2024 e agora enfrenta uma ação coletiva por não proteger registros pessoais.