O modelo de negócios das empresas privadas de fiscalização de estacionamento raramente é aceito pelos motoristas. Se a empresa também cometer erros no que diz respeito à segurança de TI, isso se tornará desagradável. Uma pesquisa atual do portal de notícias Watson descobriu agora um grande vazamento de dados que afeta os proprietários de veículos em toda a Suíça: dois gigantes da indústria, Funkwache e Unisecur, deixaram extensos bancos de dados com informações altamente confidenciais abertas e desprotegidas na Internet por um longo tempo.
Leia mais depois do anúncio
A escala do incidente foi significativa, segundo o relatório, com o sistema contendo dezenas de milhares de registros. Na base de dados da empresa pública de Zurique, Funkwache, existem centenas de milhares de entradas na lista de centros finos, bem como dezenas de milhares de ligações entre matrículas e endereços específicos.
Essas empresas são especializadas na fiscalização de áreas de estacionamento privadas para proprietários e administradoras de imóveis. Qualquer pessoa que estacionar ali um veículo sem autorização será multada. Os supervisores pediram então uma indemnização, que se destinava a cobrir os esforços necessários para esclarecer o incidente. Se um infrator de estacionamento não pagar, ele poderá ser acusado de um crime.
Os diários de bordo são confidenciais na Internet
Precisamente esses processos confidenciais podem ser visualizados sem criptografia e sem consultas de senha por meio de uma infraestrutura de TI não configurada. Além do nome, endereço residencial, número de telefone e endereço de e-mail do proprietário do veículo, o diário de bordo detalhado também é afetado. Nele, a empresa registra o local e horário exatos da fiscalização, dados do veículo e a situação atual dos processos criminais instaurados, incluindo relatórios e ordens de penalidade.
Os dados revelam ainda informações sobre os proprietários dos veículos bloqueados. Na Suíça, os cidadãos podem ter os dados dos seus proprietários bloqueados para uma simples consulta no serviço cantonal de trânsito rodoviário. As empresas de vigilância podem contornar este bloqueio para acções legais com um custo. No entanto, ele teve que garantir as informações que obteve com grande dificuldade.
A causa do vazamento de dados parece ser uma configuração incorreta do servidor web e da estrutura do banco de dados. As empresas afetadas, ambas remontam ao fundador da empresa Meinhard Byell e possuem o mesmo modelo de negócio, também compartilham a infraestrutura técnica e ambas utilizam a ferramenta de banco de dados Wakanda. A interface de administração do sistema pode ser acessada diretamente através de um endereço de Internet relativamente curto e previsível.
Especialistas em TI confirmaram durante sua pesquisa que nenhum conhecimento profundo ou ferramentas de hacking são necessários para acessar a estrutura interna. Um navegador é suficiente. Por quanto tempo a porta da gaiola digital ficará aberta não foi claramente definido. A consulta técnica do servidor mostra que parte da infraestrutura de TI afetada poderá ser acessada de forma insegura pela rede a partir de 2020.
Leia mais depois do anúncio
Tente colocar isso em perspectiva e investigação oficial
As reações responsáveis seguem o padrão clássico de limitação de danos e relativização. Depois que as primeiras tentativas de contato da equipe editorial foram ignoradas durante semanas em abril, a administração da Unisecur finalmente se manifestou e negou a gravidade da violação de segurança. É necessário conhecimento profundo de programação para identificar vulnerabilidades, para que pesquisas direcionadas possam ser consideradas.
O chefe da estação de rádio, Meinhard Byell, confirmou a existência da lacuna de segurança pouco antes da publicação. Ao mesmo tempo, explicou que foi imediatamente fechado. Não está claro se um terceiro não autorizado copiou ou utilizou indevidamente os dados e se o acesso ao servidor foi registrado.
Tais casos podem ter ramificações legais. O Comissário Federal de Proteção de Dados, Adrian Lobsiger, não recebeu um relatório sobre o incidente das duas empresas até que o debate sobre segurança se tornasse público, apesar da obrigação em caso de vazamento grave de dados.
As autoridades anunciaram que irão investigar e contactar os responsáveis. Isso significa que você tem o direito de tomar outras medidas legais. Os dois monitores de estacionamento foram ameaçados com sanções severas por violarem o seu dever de diligência no tratamento de dados pessoais sensíveis, mas isso permanece dentro dos limites do Regulamento Geral de Proteção de Dados (RGPD).
(meu)
