A NCIX não apagou nem cifrou os servidores quando entrou com pedido de falência em 2017. Os dados dos clientes agora são divulgados on-line.

Um investigador de segurança encontrou dados de clientes e funcionários pertencentes a um dos maiores retalhistas de hardware do Canadá em servidores colocados à venda no Craigslist. Os dados, que podem chegar a um registo de 15 anos, pertencem à NCIX uma empresa que fechou as portas em dezembro de 2017.

The massive privacy breach appears to have taken place after the retailer closed its stores last year and retired old servers and employee workstations.

 

Ainda não está claro como estes servidores foram parar ao Craiglist, mas a verdade é que apareceram anunciados. O investigador de segurança Travis Doering da Privacy Fly descobriu o anúncio para dois servidores durante o mês de agosto.

Durante o período de um mês, Doering encontrou-se com o vendedor, um homem asiático de Richmond, na Colúmbia Britanica, que se apresentou sob o nome de “Jeff”.

Doering diz que deixou claro desde o início que estava interessado em adquirir dados armazenados nesses servidores, colocados à venda por CAD $ 1.500 (USD $ 1.150) cada.

ncix-craigslist-ad

Depois de várias reuniões, Doering diz que descobriu que o vendedor tinha acesso a muitos outros servidores NCIX e estações de trabalho.

In addition, Jeff also granted Doering access to “109 hard drives which had been removed from servers before auction and one large pallet of 400-500 used hard drives from various manufacturers.”

On the various backup images and hard drives Doering accessed during his meetings with Jeff, he says he found personal data such as credentials, invoices, photographs of customers IDs, bills, customer names, addresses, email addresses, phone numbers, IP addresses, and unsalted MD5 hashed passwords, just to name a few.

He also found a database table containing 258,000 payment card details, stored in plaintext and another table containing 3,848,000 customer orders.

 

Numa tentativa de verificar a validade do relatório de Doering, a ZDNet entrou em contato com um ex-funcionário da NCIX cujo nome foi exposto em uma imagem que Doering publicou no seu blog.

 

O nome do empregado era Chadwick Ma, como visto na imagem acima. ZDNet foi capaz de identificar o perfil do Facebook de um homem chamado Chadwick Ma, um canadense asiático e que vive em Richmond, no Canadá.

We reached out to Ma with a private message via his Facebook profile, hoping he could confirm the authenticity of the T4 tax form Doering had taken a screenshot off during a meeting with Jeff while reviewing some of the NCIX data.

 

Minutos depois de entrarmos em contato, o perfil do Facebook de Ma e o anúncio da Craiglist foram retirados. Não podemos especular neste momento sobre as ligações de Ma com Jeff ou o anúncio do Craiglist, apesar das circunstâncias suspeitas.