Hackerspectiva de 2018: vazamento de dados foi ponto alarmante
Em poucos dias estaremos em 2019. Por isso, o TecMundo preparou uma retrospectiva diferente, focada em cibersegurança. Vamos chamá-la de “Hackerspectiva”. Você vai encontrar os principais assuntos que circularam na editoria e relembrar os casos que acabaram até assustando clientes e usuários de empresas, bancos e redes sociais.
Relembramos os grandes vazamentos do ano: Netshoes, Buscapé, Banco Inter, Sicredi, FMU, Porto Seguro etc
Vamos elencar um pouco de tudo, porém, o foco está nos vazamentos de dados. Em 2018, os vazamentos aconteceram em empresas de diversas áreas e afetaram clientes em todo o mundo. Talvez, nunca vimos um ano “tão movimento” no que toca exposição de dados pessoais.
Tudo pronto? Aproveite os hyperlinks para saber mais detalhes de cada assunto, já que faremos um jogo rápido — e se esquecermos de alguma coisa, use a caixa de comentários lá embaixo para nos relembrar. Acompanhe abaixo:
O Facebook merecia um capítulo só para ele. O ano de 2018 foi um soco no estômago da empresa de Zuckerberg, que teve que lidar com escândalos de mau uso de dados de usuários pela Cambridge Analytica, leitura de mensagens de privadas por outras empresas até o vazamento e exposição de fotos de usuários.
O Twitter também lidou com ataques aos servidores. Recentemente, acabou expondo a localização de usuários por meio de números telefônicos. Como resposta, a empresa comentou que hackers patrocinados por governos (Arábia Saudita e China) estariam por trás dos ataques.
O Twitter ainda foi um grande vetor de phishing, propagandas falsas e até memes com linhas de códigos maliciosas.
A Marriot International sofreu um ataque hacker no dia 8 de setembro e cerca de 500 milhões de hóspedes dos hotéis da rede tiveram informações sensíveis vazadas, como números de passaporte e outros dados pessoais, como nomes, endereços, números de cartões de crédito etc.
O Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou um Inquérito Civil Público no começo de dezembro para investigar o vazamento de dados de hóspedes da rede hoteleira Starwood Hotels and Resorts, subsidiária da Marriott International.
A Netshoes, um dos maiores ecommerces do Brasil, é a primeira da lista porque “virou o ano” tendo que lidar com um vazamento.
Meio milhão de dados pessoais de clientes da Netshoes foram disponibilizados em um site de compartilhamento de arquivos no começo de dezembro de 2017. O documento enviado ao TecMundo compreendia informações de clientes de todos os estados brasileiros. Entre os dados vazados, se encontravam: nome completo, email, data de nascimento, histórico de compra, data e valor da última compra realizada.
Após negar o incidentemente com veemência, infelizmente, a empresa só assumiu o problema em nota enviada à Comissão de Títulos e Câmbio (Securities and Exchange Comission — SEC) dos Estados Unidos, em fevereiro de 2018.
Buscapé
Os dados privados de usuários do Buscapé, um dos maiores sites de comparação de preços online, estavam expostos na internet em janeiro de 2018. Em denúncia recebida pelo TecMundo, pesquisadores de segurança comentaram que dados como nome completo, endereço de residência, email, telefone, apelido, documentos e senhas de mais de 10 milhões de usuários estavam disponíveis livremente para acesso — no total, com um pouco mais de trabalho, é possível encontrar dados de até 100 milhões de usuários registrados.
Na época, o Buscapé informou “que sua equipe técnica dedicada à segurança da informação analisa a denúncia de violação de dados e que tomará as medidas legais cabíveis, se necessário”.
Dados de cerca de 500 mil alunos e ex-alunos do Complexo Educacional FMU (Centro Universitário Faculdade Metropolitana Unidas) estavam expostos na web para acesso público e sem qualquer proteção. Denúncia enviada ao TecMundo dá conta de que as informações estavam desprotegidas nos servidores da universidade há pelo menos três meses.
Após a notícia, infelizmente, a FMU chegou a cogitar expulsar o pesquisador e aluno que descobriu a falha — além de ter enviado a polícia até a casa do aluno para recolhimento e investigação de bens, afirma o próprio.
Em abril de 2018, dados pessoais, imagens de documentos e até dados bancários de clientes da Porto Seguro Cia. de Seguros Gerais foram vendidos em um ecommerce do crime. Esses dados também acabaram vazando em documento publicado no Pastebin. Segundo uma fonte anônima que teve acesso ao vazamento, os dados bancários envolvem até executivos da Porto Seguro.
Na época, a Porto negou e disse que “não houve vazamento no sistema da empresa. Reforça ainda que monitora constantemente o tráfego de informações e investe em segurança e tecnologia a fim de prevenir e combater fraudes e que, quando estas são detectadas, os acessos suspeitos são prontamente bloqueados”.
Vazamento
O caso do Banco Inter talvez tenha sido o mais emblemático do ano — não por menos, foi eleito “o melhor owned do ano” na conferência hacker H2HC, nota o Defcon lab. Emblemático por dois pontos: a quantidade de material vazado e a forma como o banco lidou com o caso.
Dados pessoais de milhares de clientes, funcionários e executivos do Banco Inter, um dos maiores bancos totalmente digitais do Brasil, foram colocados em um arquivo criptografado de 40 GB enviado ao TecMundo. Por lá, são encontradas fotos de cheques, documentos, transações, emails, informações pessoais, chaves de segurança e senhas de cerca de 100 mil pessoas.
Atualmente, após investigação do Ministério Público do Distrito Federal e Territórios (MPDFT), MP e Banco Inter fecharam um acordo: o pagamento de R$ 1,5 milhão para instituições de caridade e instituições públicas que combatem crimes cibernéticos. Ainda, segundo o MP, o vazamento atingiu 20 mil clientes.
O segundo ponto: a canelada
A maneira incrível que o Banco Inter lidou com o caso: foi negada, desde o primeiro instante, a possibilidade de um problema de vazamento. Além da negativa reafirmada insistentemente ao longo de meses para clientes preocupados e também ao mercado e investidores, o Inter escreveu em redes sociais textos dúbios indicando que o TecMundo praticava ‘fake news’. A acusação era uma estratégia clara para desestabilizar a reportagem. Outro ponto notado ao TecMundo por leitores foi a suposta participação de bots no Twitter para controle de narrativa — uma boa parte até virou meme: “fanboy de banco”.
Por último, ainda dentro do último ponto, algo que até hoje não está claro: o processo do MPDFT afirma que ocorreu uma suposta ameaça e censura sobre o pesquisador Thiago Gomes de Sá Ayub, que tentava entender o caso por conta própria. Representantes do Banco Inter, por meio de uma empresa de cibersegurança chamada Axur, ligaram para o pesquisador e fizeram ameaças envolvendo o “futuro profissional” de Thiago, segundo processo do MP divulgado hoje (19).
Este último ponto, talvez, figure na Hackerspectiva de 2019.
C&A
Hackers invadiram o sistema de compra, bloqueio e extrato do “Cartão Presente” da C&A em agosto de 2018. Entre os dados de clientes vazados, estavam: número do cartão, CPF, email, valor adquirido como presente, email do funcionário que fez a transação, número do pedido e data da compra. O hacker afirmou ao TecMundo que estavam expostos os dados de quatro milhões de pedidos — dentre eles, afirma que “provavelmente” existem dados de dois milhões de clientes diferentes
Atualmente, a Comissão de Proteção de Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) investiga as consequências do vazamento de dados ocorridos na C&A.
Na época, a C&A enviou o seguinte posicionamento: “A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência. A companhia também está tomando providências jurídicas para tratar a questão. Em caso de dúvidas, pedimos que os clientes acionem os canais de atendimento da empresa. Reiteramos nosso compromisso com uma atuação pautada pela ética e respeito às leis e que trabalhamos para oferecer a melhor experiência aos nossos clientes, inclusive no ambiente online”.
A Stone, empresa de pagamentos brasileira, sofreu um vazamento no dia da precificação de sua oferta pública inicial de ações (IPO), em outubro. Em documento enviado à reguladora norte-americana Securities Exchange Commission (SEC), a Stone afirma que ontem (23) teve conhecimento sobre o acesso não autorizado de um grupo de pessoas aos sistemas.
O Ministério Público do Distrito Federal e Territórios (MPDFT) comunicou a abertura de um procedimento administrativo em novembro para investigar o suposto vazamento de dados e código-fonte do software da Stone Pagamentos.
A Federação das Indústrias do Estado de São Paulo (FIESP) expôs os dados de cerca de 34 milhões de pessoas, de acordo com o pesquisador de segurança Bob Diachenko, em novembro deste ano. Os dados foram encontrados em uma base de dados Elasticsearch com 180.104.892 registros que deixavam acessíveis informações como nome completo, número de RG, número de identificação CPF, gênero, data de nascimento, endereço completo, email e número telefônico.
O Ministério Público do Distrito Federal (MPDFT), por meio da Unidade Especial de Proteção de Dados e Inteligência Artificial, instaurou um inquérito civil público para investigar a suposta exposição de dados que envolve a Federação das Indústrias do Estado de São Paulo (Fiesp) no mesmo mês da exposição de dados.
Cerca de 32 milhões de registros de dados de clientes da Sky Brasil estavam supostamente acessíveis para invasores em servidores Elasticsearch abertos e não criptografados. Apenas um dos servidores expostos da Sky possuía um arquivo de registros com 430 gigabytes. Entre os dados de clientes expostos, estavam: nome completo, endereço residencial, plano de assinatura, número telefônico, código postal, data de pagamento da fatura, método de pagamento, número do smart card, senhas criptografadas em Blowfish e outros detalhes que abrem margem para diferentes golpes e fraudes.
O Ministério Público do Distrito Federal (MPDFT) foi rápido na ação e instaurou inquérito civil público para investigar o vazamento de informações da Sky Brasil. A empresa de serviços de tecnologia brasileira Tivit também foi alvo do mesmo inquérito.
A Google fechou as portas da rede social Google+ mais cedo após um vazamento de 52 milhões de contas. Para entender como isso afetou os usuários brasileiros, a Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), do Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou em dezembro um inquérito civil público. De acordo com o MP, serão investigadas “as circunstâncias do incidente e as responsabilidades pelos danos causados”.
A instituição financeira Sicredi (Sistema de Crédito Cooperativo) sofreu um suposto ataque hacker no começo de dezembro, de acordo com um documento publicado no Pastebin. Segundo os autores, foram vazadas informações sensíveis de clientes que totalizam 1,2 TB de dados e envolvem registros de transferências, depósitos, extratos de conta, telefone de contato, data de abertura de conta, nome completo, nomes de parentes, local de trabalho, profissão e outros detalhes.
“O Sicredi detectou, a partir de monitoramento interno, a exposição de dados de alguns associados de uma região do interior do Rio Grande do Sul. Estão sendo tomadas medidas contingenciais e os associados impactados estão sendo contatados. Além disso, o Sicredi está colaborando com a investigação pelos órgãos competentes. Cabe ressaltar que não foi detectada a exposição de dados bancários sigilosos. O Sicredi destaca ainda que as operações permanecem normais, sem comprometimento dos seus sistemas de segurança e que adota as melhores práticas relacionadas à segurança da informação”, disse a empresa em nota.
TSE
O Tribunal Superior Eleitoral (TSE) sofreu um suposto acesso não-autorizado ao sistema GEDAI-UE da urna eletrônica e teve o código do sistema de carga do software vazado durante a semana anterior ao segundo turno das eleições presidenciais, que ocorreu no dia 28 de outubro. Além do vazamento não autorizado, hackers alegaram que tiveram sucesso ao entrar na intranet do TSE e obter informações privilegiadas e confidenciais, como troca de emails, envio de senhas para juízes, credenciais de acesso etc.
O TecMundo recebeu os documentos por meio de duas fontes anônimas em outubro. Após análise interna, os arquivos foram enviados em sua completude ao Tribunal Superior Eleitoral para autenticação.
O Tribunal Superior Eleitoral (TSE) encaminhou o caso da suposta invasão hacker e vazamento de informações confidenciais da Justiça Eleitoral à Polícia Federal em novembro. Além do inquérito aberto, no âmbito interno do Tribunal, o TSE instaurou uma sindicância para apurar os fatos.
Não há novidades, até o momento, sobre o caso.
Código GEDAI
Ingenuidade ou falta de informação? Essa combinação, infelizmente, colocou o Brasil em uma posição ingrata: o líder mundial em ataques de phishing, segundo a Kaspersky. A empresa afirmou que 30% dos internautas brasileiros sofreram ao menos uma tentativa de golpe em 2017 — 2018 ainda não acabou, mas o índice está em 23%.
Caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
As células Anonymous realizaram diversos ataques e defaces em 2018, sendo a maioria relacionada aos candidatos das eleições 2018. Você pode saber mais sobre isso clicando aqui.
Esquecemos de alguma coisa? Mande nos comentários. Além disso, vamos deixar aqui embaixo nossos canais de denúncia, caso tenha interesse.
