Uma base de dados de proporções gigantescas, contendo milhões de informações altamente sensíveis de cidadãos suecos, esteve acessível na internet para qualquer pessoa que soubesse onde procurar. A descoberta foi feita por investigadores da Cybernews, que descreveram o servidor Elasticsearch mal configurado como uma autêntica "mina de ouro de dados de business intelligence".
No total, estavam expostos centenas de milhões de registos detalhados pertencentes a indivíduos e organizações na Suécia, criando um perfil financeiro e comportamental pormenorizado da população.
Que dados estavam expostos?
A base de dados continha mais de 100 milhões de registos, gerados entre 2019 e 2024, distribuídos por 25 índices distintos. A informação era de um detalhe impressionante e incluía:
Nomes completos (incluindo historial de nomes anteriores)
Números de identidade pessoal suecos
Datas de nascimento e género
Historial de moradas (locais e no estrangeiro)
Estado civil e informação sobre indivíduos falecidos
Registos de dívidas e observações de pagamento
Historial de falências
Indicadores de propriedade
Dados sobre impostos sobre o rendimento
Registos de atividade, dados financeiros e comportamentais
O mistério da propriedade dos dados
Os investigadores da Cybernews atribuíram inicialmente a propriedade do servidor à Risika, uma empresa fintech dinamarquesa especializada em avaliação de crédito em tempo real e monitorização de risco financeiro. A suspeita baseou-se no uso de tags internas como "dwh*" e nomes de índices que correspondiam às convenções de produtos conhecidos da Risika.
No entanto, os próprios investigadores admitem que o mais provável é que a base de dados estivesse a ser operada por uma entidade terceira. A teoria é que a Risika terá fornecido os dados de forma legítima, através de uma licença comercial, a um cliente que, por sua vez, cometeu o erro de configuração que deixou tudo exposto.
Após ser contactada pela Cybernews, a Risika agiu rapidamente e o acesso à base de dados foi bloqueado no dia seguinte. Contudo, a empresa negou veementemente qualquer ligação com o arquivo de dados.
Numa resposta oficial, um porta-voz da empresa afirmou: "A nossa investigação preliminar indica que os dados referenciados na fuga reportada contêm informação que não possuímos, não armazenamos, nem temos acesso através das nossas operações de negócio. Isto sugere que os nossos sistemas não são a fonte desta violação de dados em particular".
A identidade do verdadeiro responsável pela exposição desta enorme quantidade de informação sensível permanece, assim, por esclarecer.
Nenhum comentário
Seja o primeiro!