Loja online de cartões-presente expõe documentos de identidade de centenas de milhares de clientes

Uma loja online de cartões-presente nos Estados Unidos corrigiu uma falha em seu servidor de armazenamento que estava expondo publicamente centenas de milhares de documentos de identidade emitidos pelo governo de clientes na internet.

Um pesquisador de segurança conhecido como JayeLTee descobriu o servidor exposto no final do ano passado. O servidor continha carteiras de motorista, passaportes e outros documentos de identidade pertencentes à MyGiftCardSupply, uma empresa que vende cartões-presente digitais para resgate em marcas populares e serviços online.

O site da MyGiftCardSupply informa que exige que os clientes enviem cópias de seus documentos de identidade como parte de sua conformidade com as regras norte-americanas de combate à lavagem de dinheiro, conhecidas como verificações "Conheça Seu Cliente" (KYC). No entanto, o servidor que armazenava esses arquivos não estava protegido por senha, permitindo que qualquer pessoa na internet acessasse os dados.

JayeLTee informou  sobre a exposição após a MyGiftCardSupply não responder ao e-mail do pesquisador alertando sobre o problema. Quando contatada, o fundador da MyGiftCardSupply, Sam Gastro, confirmou a falha de segurança. "Os arquivos agora estão protegidos, e estamos realizando uma auditoria completa do procedimento de verificação KYC", afirmou Gastro. "A partir de agora, vamos excluir os arquivos imediatamente após a verificação de identidade."

Gastro não revelou por quanto tempo os dados ficaram expostos nem se a empresa notificaria os indivíduos afetados. Ele também não explicou por que a empresa não respondeu ao e-mail do pesquisador ou resolveu o problema imediatamente.

De acordo com JayeLTee, os dados expostos hospedados na nuvem Azure da Microsoft incluíam mais de 600 mil imagens frontais e traseiras de documentos de identidade, além de fotos de selfie de cerca de 200 mil clientes. Empresas que realizam verificações KYC frequentemente solicitam selfies segurando documentos de identidade para confirmar a identidade do cliente e evitar falsificações.

O documento mais recente encontrado no servidor datava de 31 de dezembro de 2024, um dia antes da MyGiftCardSupply corrigir a falha. Milhares de clientes enviaram seus documentos nas semanas anteriores, indicando que o servidor estava em uso ativo.

Este incidente é mais um de uma série de vazamentos envolvendo documentos de identidade usados para verificações KYC, uma das técnicas mais utilizadas para confirmar a identidade de clientes. Em abril passado, um hacker alegou ter roubado um banco de dados chamado World-Check, usado por empresas para identificar clientes de alto risco ou envolvidos em atividades criminosas. O banco de dados incluía nomes, datas de nascimento, números de passaporte, números da Previdência Social e contas bancárias.

Separadamente, JayeLTee relatou na quinta-feira a descoberta de outro conjunto de documentos KYC expostos, incluindo cerca de 320 mil passaportes e carteiras de motorista, do site de busca de colegas de quarto Roomster. Em um blog, o pesquisador afirmou não estar claro quantas pessoas foram afetadas pela falha no Roomster, cujo CEO, John Shriber, não respondeu ao e-mail da TechCrunch solicitando comentários. Em 2023, o Roomster foi condenado a pagar US$ 1,6 milhão após uma queixa da Comissão Federal de Comércio por supostamente enganar milhões de usuários com anúncios falsos e avaliações fraudulentas.

Via - TC