Amazon abriu acidentalmente o banco de dados de preferências do assinante Prime Video para todos

Nos sistemas de grandes empresas de Internet, várias vulnerabilidades e falhas de natureza crítica estão sendo cada vez mais descobertas. Desta vez, a Amazon apareceu na lista daqueles – qualquer um poderia acessar seu banco de dados de preferências dos usuários do serviço de mídia Prime Video.

Fonte da imagem: Renato Ramos Puma/unsplash.com

De acordo com o especialista em segurança cibernética Anurag Sen, o banco de dados que descreve as preferências do usuário era armazenado em um servidor interno da Amazon e estava disponível para qualquer usuário da Web, pois não tinha proteção, incluindo a mais simples proteção por senha. O acesso poderia ser obtido diretamente do navegador – bastava saber o endereço IP do servidor.

Um banco de dados baseado no Elasticsearch chamado Sauron continha cerca de 215 milhões de dados anônimos sobre os hábitos dos usuários – os títulos das séries, em quais dispositivos foram reproduzidos, além de outras informações para uso interno, como a qualidade da conexão de rede e detalhes da assinatura.

De acordo com o mecanismo de busca Shodan, o banco de dados foi descoberto e ficou disponível na Web em 30 de setembro. Felizmente para os usuários, os registros desse tipo são pseudonimizados, portanto, é impossível identificar o usuário deles ou é extremamente difícil fazer isso. No entanto, o incidente é evidência de mais uma configuração incorreta dos servidores, que até mesmo os gigantes da Internet às vezes toleram.

Segundo o portal TechCrunch, após identificar o incidente, os editores entraram em contato com a Amazon, logo após o fechamento do acesso ao banco de dados. Segundo o próprio serviço de mídia, houve um chamado. Erro de implantação do servidor de análise do Prime Video. O problema foi corrigido e não tem nada a ver com a segurança dos serviços da AWS. Além disso, não havia acesso a informações críticas, como logins e dados de pagamento.