A Aura, uma empresa americana de proteção de identidade, confirmou uma violação de dados que afeta aproximadamente 900.000 registros, principalmente envolvendo informações de contato armazenadas em um sistema de marketing.
A empresa afirmou que a maioria dos dados expostos se refere a nomes e endereços de e-mail coletados por meio de uma plataforma de marketing terceirizada vinculada a um negócio adquirido em 2021. De acordo com o depoimento da empresa, a violação não impactou seus sistemas centrais que armazenam informações mais sensíveis dos clientes.
Aura afirmou que um subconjunto menor de registros incluía informações pessoais adicionais. Esse grupo envolvia menos de 20.000 clientes ativos e menos de 15.000 ex-clientes. Nesses casos, os dados expostos podem ter incluído nomes, endereços de e-mail, números de telefone e endereços residenciais. A empresa afirmou que números do Seguro Social, senhas e dados financeiros não foram acessados.
A violação ocorre após alegações de um ator ameaçador que ofereceu um conjunto de dados contendo mais de 900.000 registros relacionados à Aura. Análises externas dos dados indicaram que incluíam detalhes de contato e outras informações, como endereços IP e notas de atendimento ao cliente.
Pesquisadores de segurança relacionaram o incidente a uma campanha mais ampla direcionada a sistemas conectados a ambientes Salesforce. Relatórios indicam que atacantes podem ter explorado controles de acesso mal configurados em serviços expostos publicamente para recuperar dados sem autenticação.
A Aura afirmou que está notificando os indivíduos afetados quando apropriado e orientando os clientes. A empresa também afirmou que tomou medidas para proteger os sistemas afetados e prevenir incidentes semelhantes.
A empresa oferece serviços de monitoramento de identidade e proteção contra fraudes, incluindo ferramentas projetadas para alertar usuários sobre exposição de dados. Autoridades disseram que a investigação sobre o incidente está em andamento, com análises adicionais focadas em determinar a extensão total da violação e os sistemas envolvidos.