A VirusTotal, uma plataforma de análise de arquivos, domínios, URLs e IPs, publicou uma nota em seu blog interno pedindo desculpas aos usuários e clientes pelo vazamento acidental de parte dos dados pessoais de indivíduos cadastrados. A nota reforçou ainda que o incidente não é decorrência de um ataque hacker, mas sim de um erro humano.
O comunicado informa que o vazamento se deu quando um dos funcionários da organização subiu por engano um arquivo CRV para o VirusTotal no dia 29 de junho. O arquivo continha dados limitados de usuários com contas Premium, como nomes das empresas, de grupos associados à plataforma e endereços de e-mail dos administradores.
O arquivo foi removido do site uma hora depois de feito o upload, que o tornou disponível para parceiros e clientes corporativos. Apesar disso, a VirusTotal informou que iniciou a implantação de novos processos internos e controles técnicos para melhorar a Segurança e proteção de dados dos clientes.
“A confiança é o alicerce de nossa comunidade e, mais uma vez, pedimos desculpas por qualquer confusão ou preocupação que isso possa ter causado”, encerrou a mensagem.
A Security Report publica, na íntegra, a nota disponibilizada no blog da VirusTotal:
“Estamos escrevendo para compartilhar informações sobre o recente incidente de exposição de dados de clientes no VirusTotal. Pedimos desculpas por qualquer preocupação ou confusão que isso possa ter causado.
Em 29 de junho, um funcionário carregou acidentalmente um arquivo CSV na plataforma VirusTotal. Esse arquivo CSV continha informações limitadas de nossos clientes da conta Premium, especificamente os nomes das empresas, os nomes dos grupos do VirusTotal associados e os endereços de e-mail dos administradores dos grupos. Removemos o arquivo, que era acessível apenas a parceiros e clientes corporativos, de nossa plataforma uma hora após sua publicação.
Antes de mais nada, queremos esclarecer de forma inequívoca: Esse não foi o resultado de um ataque cibernético ou de uma vulnerabilidade do VirusTotal. Foi um erro humano, e não houve envolvimento de agentes mal-intencionados.
Este é um exemplo dos dados que foram incluídos no arquivo CSV:
Nome da empresa Grupo VT Endereço de e-mail do grupo de admin
VirusTotal S.L. virustotal User@virustotal.com
Garantimos que os dados divulgados foram limitados estritamente ao tipo de informação fornecida no exemplo acima. Desde esse incidente, implementamos novos processos internos e controles técnicos para melhorar a segurança e a proteção dos dados dos clientes. A confiança é o alicerce de nossa comunidade e, mais uma vez, pedimos desculpas por qualquer confusão ou preocupação que isso possa ter causado.”
