A FIESP ipari csoport több millió személyes adatnyilvántartással foglalkozik.
A brazil São Paulo Állami Iparági Szövetséget (FIESP) azzal vádolják, hogy több millió személyes adatrekordot tett közzé három adatbázisából az interneten.
A FIESP mintegy 130 ezer vállalatot képvisel, és a brazil ipari szektor legnagyobb osztálya. A kiszivárgott feljegyzések között szerepeltek nevek, személyi igazolványok és társadalombiztosítási számok, valamint teljes címek, e-mail-címek és telefonszámok.
Bob Diachenko, a White Hacker Hacker-ökoszisztéma Hacken Proof biztonsági kutatója azt állítja, hogy hármat fedezett fel. személyi rekordokat tartalmazó adatbázisok, amelyeket az Elasticsearch keresőn keresztül lehetett elérni novemberben 12. A legnagyobb adatforrás 34,8 millió bejegyzést tartalmazott.
Diachenko szerint az adatok bárki számára hozzáférhetők voltak, és több napja nyíltan elérhetők voltak az interneten.
A kutató azt állítja, hogy megpróbálta felvenni a kapcsolatot a FIESP-vel, hogy figyelmeztesse az ipari testületet az esetről, sikertelenül. Miután a kiszivárogtatást Hacken Proof először nyilvánosságra hozta a Twitteren, egy brazil követője felvette a kapcsolatot a szervezettel, hogy tájékoztassa őket az adatszivárgásról, és csak ezután vált offline állapotba az adatbázis.
A FIESP közleményében azt mondta, hogy "nyomoz egy olyan cég állítólagos hozzáférését az adatbázisához, amely azt állítja, hogy a digitális biztonság területén dolgozik", de nagyjából tagadta, hogy bármi komoly történt volna minden.
A kereskedelmi szervezet azzal érvelt, hogy az adatbázisok, amelyekről a Hacken Proof beszél, nem tartalmaznak érzékeny információkat, ill jelszavakat, és azt, hogy "egyelőre semmi hír arról, hogy az adatbázisból bármilyen személyes adat nyilvánosságra került volna".
"A FIESP felvette a kapcsolatot a [Hacken Proof-pal], aki azt mondta, hogy nem hozta nyilvánosságra az adatokat, és ezt követően megsemmisítette azokat az információkat, amelyekhez állítása szerint hozzáfért. [Hacken Proof] azt is kijelentette, hogy célja az volt, hogy feltárja a lehetséges sebezhetőségeket, hogy megakadályozza a lehetséges szivárgásokat."
A brazil ügyészség jelenleg vizsgálja az adatszivárgást. Brazília még nem hajtja végre saját adatvédelmi jogszabályait, amelynek többek között az lesz a célja, hogy az állami és magánszervezeteket felelősségre vonja a személyes adatoknak való kitettségért.