A recente descoberta de um vazamento de dados em uma loja de cartões-presente digital nos Estados Unidos levanta preocupações sérias sobre a privacidade e segurança das informações pessoais. Um servidor de armazenamento online, que pertencia à MyGiftCardSupply, foi encontrado exposto na internet, revelando, sem qualquer proteção, documentos de identidade emitidos pelo governo de centenas de milhares de clientes. A situação, que foi reportada por um pesquisador de segurança conhecido pelo pseudônimo de JayeLTee, destaca as fragilidades em torno das práticas de segurança cibernética adotadas por empresas que lidam com informações sensíveis.
A MyGiftCardSupply, uma plataforma que permite a compra de cartões-presente digitais para marcas populares, exige que seus clientes realizem um upload de cópias de documentos de identidade como parte de suas obrigações de conformidade com as regulamentações de combate à lavagem de dinheiro nos EUA, amplamente conhecidas pelos termos “conheça seu cliente” ou KYC. No entanto, o que deveria ser um procedimento seguro revelou-se uma grande vulnerabilidade. O servidor, hospedado na nuvem Azure da Microsoft, estava acessível ao público sem qualquer proteção por senha, permitindo que qualquer pessoa com acesso à internet pudesse visualizar e baixar os dados contidos ali.
A exposição alarmante de dados foi notificada à TechCrunch, que tentou entrar em contato com a MyGiftCardSupply, mas não obteve resposta até que JayeLTee se pronunciasse sobre a situação. Após a denúncia, o fundador da empresa, Sam Gastro, confirmou a falha de segurança e assegurou que o acesso aos arquivos já estava seguro. Ele ainda ressaltou que a empresa está realizando uma auditoria completa do procedimento KYC, indicando um compromisso em melhorar suas práticas de segurança. Porém, Gastro não informou por quanto tempo os dados permaneceram expostos e se há planos para notificar os indivíduos afetados, uma omissão que gera ainda mais apreensão entre os clientes.
A extensão da violação é significante. JayeLTee relatou que o conteúdo do servidor exposto incluía mais de 600 mil imagens de documentos de identidade — tanto frontais quanto traseiras — e selfies de cerca de 200 mil clientes. O fato de que o documento mais recente carregado no servidor datava de 31 de dezembro de 2024 indica que o sistema estava ativamente em uso, com milhares de clientes enviando seus documentos nas semanas anteriores ao vazamento. Esse tipo de prática, onde os clientes tiram selfies segurando seus documentos de identidade, é comum em processos KYC, destinado a validar a identidade do cliente e evitar fraudes.
Esse incidente se insere em um contexto maior de falhas de segurança envolvendo documentos de identidade e processos KYC. Em abril do ano passado, um hacker alegou ter roubado uma vasta base de dados de triagem chamada World-Check, que é utilizada por empresas para identificar clientes com alto risco ou potencial envolvimento em atividades criminosas. Dados que vazaram dessa base estavam repletos de informações sensíveis, incluindo nomes, datas de nascimento, números de passaporte e da previdência social, além de informações bancárias. Essa sequência de incidentes levanta a questão sobre a eficácia e a segurança das práticas KYC, que são vistas como ferramentas fundamentais para a verificação de identidade em mercados digitais.
Na mesma semana do vazamento da MyGiftCardSupply, JayeLTee também revelou a exposição de um novo conjunto de documentos KYC que pertence à Roomster, um site de busca de companheiros de quarto, onde cerca de 320 mil passaportes e carteiras de motorista foram encontrados expostos. A situação se complica ainda mais quando consideramos que a Roomster foi condenada a pagar 1,6 milhão de dólares por reclamações envolvendo fraudes e falsas avaliações em 2023, o que levanta dúvidas sobre a responsabilidade de empresas na proteção de dados sensíveis dos consumidores.
Em resumo, o incidente envolvendo a MyGiftCardSupply serve como um alerta sobre a necessidade contínua de vigiar e fortalecer a segurança das informações pessoais na era digital. Os consumidores devem estar cientes do que estão confiando às empresas e as empresas devem, por sua vez, redobrar seus esforços para proteger esses dados. Em um mundo cada vez mais interconectado, a segurança dos dados não é apenas uma responsabilidade técnica, mas uma obrigação moral de qualquer empresa que lida com informações pessoais.
