Grandes empresas dos EUA cometem erros básicos de segurança

(Bloomberg) -- Seis meses atrás, o Regulamento Geral sobre a Proteção de Dados da União Europeia entrou em vigor, ameaçando empresas de todo o mundo com multas pesadas se elas não cuidassem adequadamente dos dados dos clientes. Pesquisas recentes sugerem que isso está fazendo a diferença na Europa, mas não tanto para os usuários da internet nos EUA.

As informações pessoais de americanos que fizeram doações de caridade, que apoiaram partidos políticos e que fizeram compras pela internet continuaram vazando discretamente como resultado de práticas de segurança inadequadas em sites, segundo uma nova pesquisa. Um em cada cinco sites de comércio eletrônico nos EUA ainda deixa seus clientes expostos, informou a empresa de marketing de buscas Seer Interactive, que tem sede em Nova York, nesta segunda-feira.

Usando pesquisas simples do Google, semelhantes aos métodos examinados pela Seer, a Bloomberg conseguiu acessar informações confidenciais de usuários em diversos sites dos EUA escolhidos aleatoriamente. Por exemplo, o site do St. Jude Children's Research Hospital publicou o recibo de uma doação de centenas de dólares, incluindo o nome completo e o endereço do doador, o método de pagamento e a data, além do e-mail. A Bloomberg encontrou dados semelhantes em formato PDF relacionados a compras de artigos esportivos no Pine Hills Golf Club, em Ohio, como nomes completos, endereços residenciais e de e-mail, bem como números de referência para a compra da pessoa.

Em outro exemplo, endereços de e-mail associados a assinaturas de boletins informativos sobre câncer e HIV foram encontrados pela Bloomberg no site Medscape, da WebMD Health. Descobriu-se que a CVS Health estava revelando endereços de e-mail de assinantes de seus boletins informativos.

Em outro caso, o nome completo e os detalhes de um indivíduo que participou de uma pesquisa na página de doações do site do presidente dos EUA, Donald Trump, podem ser vistos em um URL indexado pelo Google.

Essa vulnerabilidade pode ser causada por vários erros básicos. Um deles é que, se um site permitir que um usuário compartilhe uma transação nas redes sociais - como para divulgar uma doação de caridade -, um mecanismo de pesquisa poderá ver a publicação e, a partir dela, indexar a página web original, mesmo que o usuário não saiba disso. Sem uma proteção de segurança, essas páginas ficam disponíveis para qualquer pessoa.

Um porta-voz da CVS disse que "um número muito pequeno" de endereços de e-mail de clientes ficava visível desse modo "quando alguns clientes compartilhavam o conteúdo de seus e-mails de cancelamento de assinatura em fóruns on-line para oferecer ajuda a outros usuários", mas que nenhuma outra informação pessoal estava acessível.

Amy Lahey, diretora de segurança da informação da ALSAC, organização de conscientização e captação de recursos do St. Jude Children's Research Hospital, disse que a exposição de dados se limitou a dois registros de transações de doação - um que remonta a 2015 e outro a 2017 - e que controles adicionais de segurança já foram implementados.

Depois de serem informados pela Bloomberg, antes da publicação desta reportagem, a CVS e o hospital infantil St. Jude's afirmaram que os sites afetados já haviam sido removidos ou estavam em processo de remoção. Representantes da WebMD e do Pine Hills Golf Club não responderam a vários pedidos de comentários.

Embora individualmente esses dados possam ser considerados inofensivos, nas mãos de um criminoso virtual eles poderiam ser usados de forma fraudulenta, disse Adam Melson, diretor da Seer Interactive.