Banco de dados Z2U vaza 600 mil registros do Marketplace

Banco de dados Z2U

Um mercado online no qual os usuários negociam contas online com desconto, chaves de licença e malware sofreu um vazamento de dados expondo centenas de milhares de registros confidenciais, de acordo com o vpnMentor.

O pesquisador de segurança Jeremiah Fowler encontrou 600.000 “anexos de suporte ao cliente” relacionados ao site Z2U, que incluíam imagens de indivíduos com cartões de crédito, passaportes e outros documentos de identificação.

Também foram expostos no banco de dados não protegido por senha: transações de pagamento, incluindo números IBAN; logins de contas de usuário, e-mails e senhas; e confirmações de pedidos mostrando o nome do comprador, e-mail e detalhes de sua compra.

Além disso, Fowler conseguiu acessar capturas de tela do painel de suporte ao cliente, comunicações, históricos de compras, créditos de conta e solicitações de reembolso.

Fowler disse que a plataforma é baseada na China, assim como o servidor que hospeda o banco de dados em questão. O Z2U também possui um site em inglês e uma classificação de 4,5 no Trustpilot.

Ele afirma ser uma “plataforma de negociação de mercado digital líder mundial” para jogadores, dedicada à compra e venda de itens do jogo.

No entanto, a pesquisa de Fowler parece revelar uma ampla gama de atividades comerciais duvidosas fora do mundo dos jogos, incluindo a venda de mídias sociais, streaming e até contas da Amazon.

“Isso ignora os processos de validação que muitas empresas de mídia social implementam para evitar atividades maliciosas ou fraudulentas em suas plataformas. As contas de cliente (comprador) e comerciante (vendedor) da Amazon vendidas no Z2U também representam risco de fraude”, argumentou.

“Compartilhar ou vender contas levanta muitas questões éticas e de segurança. Vi documentos indicando que os usuários do Z2U estavam vendendo contas HBO MAX e Netflix Premium por apenas US$ 1, e assinaturas Disney+ de três meses por US$ 5. Para referência, o Disney+ custa $ 109,99 por ano, enquanto os vendedores no Z2U oferecem acesso por apenas $ 17 por ano. No Reino Unido, é contra a lei que os usuários compartilhem suas senhas para serviços como Netflix, Amazon Prime Video e Disney+.”

Fowler também afirmou ter visto chaves de licença do Windows à venda “por uma fração do preço real” e vendedores “oferecendo vírus, malware ou outros aplicativos maliciosos”.

O acesso ao banco de dados foi encerrado logo após o pesquisador enviar uma nota ao site em chinês.

“Não insinuamos nenhum delito por parte da Z2U ou de seus clientes e apenas destacamos os detalhes de nossa descoberta para identificar os riscos do mundo real”, concluiu Fowler.

Fonte: infosecurity