Willow, startup de Fintech, expõe 240.000 registros privados
Os nomes, números de telefone, endereços de e-mail e dados bancários expostos podem ser uma mina de ouro para os fraudadores.
Postado em 15 de janeiro de 2025 8h03 CST
A Willow, empresa de tecnologia financeira com sede em Chicago – que paga as contas dos clientes antecipadamente e permite-lhes pagar em quatro prestações semanais – deixou mais de 240.000 registos privados expostos online, apurou o Daily Dot.
Vídeo em destaque
Os dados, descobertos em um banco de dados não protegido por senha pelo pesquisador de segurança cibernética Jeremiah Fowler, incluem aproximadamente 241.970 arquivos relacionados a tudo, desde dados confidenciais de clientes até cronogramas de pagamento.
Um arquivo de planilha em particular, de acordo com Fowler, contém detalhes sobre 56.864 indivíduos rotulados como clientes potenciais, clientes ativos ou ex-clientes que foram bloqueados. Uma captura de tela fornecida ao Daily Dot também mostra registros que incluem nomes aparentes de clientes, endereços de e-mail, números de telefone, valores de transações e informações limitadas de contas bancárias.
Os recibos de clientes carregados no banco de dados mostram dados de cartão de crédito, incluindo tipos de cartão e números parciais de cartão de crédito, bem como endereços residenciais. Até mesmo a conta de telefone da T-Mobile de um cliente, que lista todas as chamadas e mensagens de texto de e para a conta, estava presente nos dados.
Fowler disse que contatou imediatamente Willow para relatar a exposição, mas nunca recebeu resposta. Pouco depois, porém, Fowler disse que o banco de dados exposto foi alterado para bloquear o acesso público.
“Não se sabe se o banco de dados pertencia e era gerenciado diretamente pela Willow ou por meio de um terceirizado”, disse Fowler. “Também não se sabe por quanto tempo o banco de dados ficou exposto antes de eu descobri-lo, ou se alguém obteve acesso a ele.”
Fowler publicou uma análise detalhada de suas descobertas.
O Daily Dot entrou em contato com Willow para perguntar sobre a exposição, mas não recebeu resposta até o momento.
Fowler alerta que, dadas todas as incógnitas, os clientes podem estar enfrentando riscos significativos devido à exposição de informações bancárias e de pagamento confidenciais.
“Não estou afirmando que os dados da Willow Pay ou de seus usuários tenham estado em risco ou comprometidos de alguma forma”, enfatizou Fowler. “Estou apenas fornecendo uma observação geral dos potenciais riscos de segurança cibernética no que se refere à exposição de informações financeiras.”
Fowler está pedindo aos clientes da Willow que acreditam que seus dados podem ter sido comprometidos que monitorem suas contas financeiras em busca de atividades não autorizadas, alterem quaisquer senhas em contas vinculadas à Willow e tenham cuidado com tentativas de phishing.
“Os nomes, números de telefone, endereços de e-mail e números parciais de cartão de crédito expostos poderiam, hipoteticamente, fornecer aos fraudadores todas as informações necessárias que eles poderiam usar para criar esquemas de phishing altamente confiáveis ou tentativas de engenharia social”, acrescentou Fowler. “Da mesma forma, as imagens digitalizadas de contas poderiam conter muito mais informações do que simplesmente nomes, endereços físicos e números de contas. Conhecer detalhes específicos dos serviços pelos quais o usuário está sendo cobrado pode ser usado como um modelo para fraude em faturas.”
A cultura da Internet é caótica – mas vamos detalhar isso para você em um e-mail diário. Inscreva-se no boletim informativo web_crawlr do Daily Dot aqui. Você receberá o melhor (e o pior) da Internet direto na sua caixa de entrada.
