2018/11/22

Falha dos Correios norte-americanos dava acesso aos dados de 60 milhões de utilizadores


Já tivemos a nossa dose de embaraços digitais com serviços públicos, mas para nos relembrar que não somos caso único eis que nos chega um erro de principiante cometido pelos serviços postais norte-americanos.

O US Postal Service (os "CTT" de lá, com a diferença de por lá permanecer uma agência estatal e não ter sido privatizado) tinha uma falha numa das suas APIs, que permitiam que qualquer utilizador tivesse acesso aos dados de qualquer um dos 60 milhões de utilizadores registados. Dados que incluíam o nome, email, endereço, telefone, etc.

A falha é considerada das mais básicas possíveis, uma vez que fazia unicamente a validação para saber se o acesso estava a ser feito por um utilizador registado, mas sem verificar se esse utilizador estaria a aceder apenas aos dados a que deveria ter acesso. Desta forma, qualquer utilizador registado ficava com as portas abertas para potencialmente aceder aos dados de todos os demais utilizadores.

Para piorar esta situação, a falha foi detectada há cerca de um ano mas não foi feita qualquer correcção depois de ter sido reportada. Só agora, um ano mais tarde, e depois da pessoa que descobriu a falha se ter "queixado" a um site com maior visibilidade na internet, é que o problema foi finalmente resolvido.


Pelo seu lado, o USPS diz que não tem indicações de que esta falha tenha sido utilizada para roubar dados, mas que irá fazer uma auditoria e processar qualquer pessoa ou entidade que tiver sido apanhada a aceder a dados indevidos através deste método. Mas uma vez mais, assumindo o pior, não haverá processo ou multa que possa reverter os danos, caso estes dados já façam parte da crescente colecção de informação roubada disponível no sub-mundo da Internet.

Se fosse por cá, será que um episódio destes seria suficiente para fazer valer as penalizações do RGPD? Ou será que mais uma vez ficaria tudo na mesma?

Sem comentários:

Enviar um comentário (problemas a comentar?)