Uma falha de segurança permitiu que dados internos de clientes da Dow Jones (incluindo nomes e endereços de assinantes do Wall Street Journal) fossem expostos para qualquer usuário da AWS.

De acordo com a UpGuard, que divulgou a violação, a Dow Jones salvava vários bancos de dados internos na nuvem da AWS sem protegê-los adequadamente.

A companhia relata que um repositório de nuvem foi configurado para oferecer "acesso semi-público", o que significa que os detalhes pessoais e financeiros de milhões de clientes da empresa foram expostos.

"Enquanto a Dow Jones confirmou que pelo menos 2,2 milhões de clientes foram afetados, os cálculos da UpGuard colocam o número mais perto de 4 milhões de contas", acrescenta o post da companhia que encontrou a falha.

O repositório armazenado na AWS S3 tinha as configurações de privacidade erradas: ao permitir o acesso a usuários autenticados, o responsável pela configuração não percebeu que isso significa oferecer acesso a qualquer usuário autenticado da AWS - não apenas aqueles com contas associadas à Dow Jones.

Entre os documentos desprotegidos há um arquivo de clientes que inclui nomes, ID internos de clientes Dow Jones, endereços domésticos e comerciais e detalhes da conta, como assinatura ou oferta promocional sob a qual um cliente se inscreveu.

A Dow Jones confirmou a violação, mas afirmou que ela não era suficientemente grave para justificar um anúncio formal aos clientes, já que as senhas e números dos cartões de crédito não foram vazados. 

O The Register ressalta que os dados vazados são suficientes para montar uma campanha de phishing ou ajudar no roubo de identidade.

A Dow Jones é uma editora financeira dos Estados Unidos. A companhia é proprietária do The Wall Street Journal, que tem circulação diária de aproximadamente 2,1 milhões de cópias. 

Além disso, a Dow Jones atua em outros grupos de comunicação e mídia, e é sócia de emissoras de televisão na Ásia e Europa pertencentes ao grupo NBC.