Imagine estar nos Estados Unidos da América e ser cliente de uma empresa online que lhe permite obter uma cópia de certidões de nascimento e de morte e ver várias informações pessoais disponíveis no documento acessíveis na Internet, por qualquer pessoa. Foi isso que uma empresa de cibersegurança britânica, a Fidus Information Security, garante que terá acontecido a 752.000 pedidos de cópias de certidões de nascimento, encontradas num bucket da Amazon Web Services.

De acordo com a notícia avançada pelo TechCrunch esta segunda-feira, que não avançou com o nome da empresa, o bucket não estava protegido com uma senha, permitindo que qualquer pessoa que conhecesse o endereço da web tivesse acesso aos dados. Cada submissão difere de estado para estado, mas o objetivo é sempre o mesmo: permitir aos clientes que submetam uma solicitação, geralmente ao departamento de saúde de um estado, para obter uma cópia dos seus registos históricos.

Solicitações de certificados de nascimento expostos online
Solicitações de certificados de nascimento expostos online

Os pedidos continham o nome do requerente, data de nascimento, endereço da residência e número de telemóvel. Para além disso, nos documentos constavam também informações pessoais históricas, incluindo moradas antigas, nomes de familiares e o motivo da solicitação.

Falha em base de dados expõe informações de mais de 7 milhões de utilizadores da Adobe Creative Cloud
Falha em base de dados expõe informações de mais de 7 milhões de utilizadores da Adobe Creative Cloud
Ver artigo

Com pedidos de 2017, o bucket também integra solicitações de 90.400 certidões de óbito, mas, neste caso, não conseguem ser acedidas ou transferidas. Numa semana a empresa terá adicionado cerca de 9.000 solicitações ao sistema, garante o site, que afirma que verificou os dados, combinando nomes e endereços com registos públicos.

Tanto a empresa como o TechCrunch enviaram emails antes da publicação do artigo para alertar sobre os dados expostos, mas o site garante que, como resposta, receberam apenas emails automáticos e nenhuma ação foi tomada. Quando questionada, a Amazon explicou que não iria intervir mas que iria informar o cliente.