Vazamento em empresa de Wi-Fi expõe dados de milhares de brasileiros

Dados de milhares de brasileiros que acessaram redes Wi-Fi em estabelecimentos comerciais vazaram esta semana. A falha aconteceu na empresa WSpot, que faz a instalação e gerenciamento de redes de internet sem fio.

A WSpot é uma empresa de Campinas, no interior de São Paulo, que monta redes Wi-Fi em estabelecimentos comerciais que querem oferecer conectividade a seus clientes.

As redes que a empresa fornece prometem segurança aos consumidores e acesso sem a necessidade de digitar senhas. O vazamento foi descoberto pela empresa SafetyDetectives.

Os profissionais de segurança descobriram que a WSpot havia configurado incorretamente uma instância do Amazon Web Services (AWS) S3, que ficou exposta e expôs mais de 10 GB de dados para o público. Com a descoberta do vazamento, em 2 de setembro, os pesquisadores contataram a WSpot em 7 de setembro. A empresa teria corrigido a falha no dia seguinte.

Cerca de 226.000 arquivos foram expostos com o vazamento. Informações pessoais de 2,5 milhões de pessoas que se conectaram às redes públicas fornecidas a clientes da WSpot. Entre os clientes da empresa estão a empresa financeira Sicredi e a companhia de saúde Unimed.

A informação exposta incluía todos os dados necessários para que fosse possível se conectar às redes Wi-Fi da empresa. Nome completo, e-mail, endereço e CPF foram expostos, incluindo informações de login escolhidas por cada usuário.

Resposta da empresa sobre o vazamento de dados

Imagem: Unsplash

A WSpot confirmou a falha, em entrevista à ZDNet. O problema teria sido causado por uma falta de padronização no gerenciamento da informação armazenada em uma pasta. A empresa reiterou que trabalhou para resolver o problema e controlar danos desde que foi contatada e até o último dia 18 de novembro.

A WSpot afirmou que seus servidores estiveram intactos e não foram invadidos por criminosos, dizendo que não há provas que os dados foram obtidos por terceiros. No entanto, a empresa de redes afirmou que contratou uma empresa de segurança para investigar todas as possíveis repercussões do vazamento.

A empresa afirma ainda que o problema impactou apenas 5% de seus clientes e nenhum deles teve informações de negócios ou sensíveis comprometidas. Além disso, reiterou que não captura dados financeiros como detalhes de cartão de crédito ou credenciais de acesso a outros serviços.

Ainda não há informação se a empresa irá comunicar aos indivíduos expostos sobre o incidente.

A Autoridade Nacional de Proteção de Dados (ANPD), que acompanha violações da Lei Geral de Proteção de Dados (LGPD), ainda não havia sido comunicada sobre o incidente, de acordo com a WSpot.

Posicionamento da WSpot

A WSpot enviou uma nota oficial sobre o caso, através de sua assessoria de imprensa. De acordo com a empresa, “não houve vazamento mas uma exposição irregular de dados que não afetou os dados das empresas, somente de pessoas que acessaram o Wi-Fi”.

Reproduzimos a nota na íntegra:

“A WSpot informa que está ciente e reconhece a existência de um problema de exposição irregular de dados de cadastro de uma pequena parcela de usuários de redes Wi-Fi de alguns de nossos clientes. O problema foi detectado em 7 de setembro e mitigado no dia seguinte, com a finalização dos processos de correção ocorrendo em 18 de novembro. Ademais, a WSpot contratou especializada em segurança da informação especificamente para uma investigação completa sobre os dados.

Primeiramente, explica-se que a empresa não faz a captação de dados de movimentação financeira. Também se esclarece que não foram desprotegidas quaisquer senhas de cadastro, dados de cartão de crédito ou outras formas de pagamento, bem como o acesso a plataformas terceiras e de uso pessoal.

É importante destacar que os servidores da WSpot se mantêm intactos e não foram invadidos por agentes terceiros maliciosos. Nesse sentido, nossa plataforma permanece dentro dos mais rígidos padrões de segurança. E ainda: não se confirmou que os dados expostos chegaram, de fato, ao domínio de pessoas e grupos mal-intencionados.

Explica-se que o ocorrido se deveu a uma falta de padronização no manejo de informações em uma pasta específica de um dos recursos de nosso sistema, questão esta já resolvida logo após a detecção do problema.

Ressalta-se que a questão afetou apenas 5% de nossa base total de clientes, sendo que nenhum deles teve informações empresariais e/ou sensíveis comprometidas.

Reitera-se o compromisso da WSpot com a observância das normas vigentes no país, em especial alusão à Lei Geral de Proteção de Dados Pessoais (LGPD), bem como no dever de transparência com nossos clientes e nossos parceiros”.

Atualização em 24/11/2021 12:38 – Correção realizada com retirada de nome da empresa Pizza Hut, que não é cliente da WSpot.