Relatório de (in) segurança: um buraco na cerca, um registro aberto em Bangladesh e uma invasão de uma estação de tratamento de água
07.08.2023
VoltarChegou a hora de verificar se o mês de julho foi quente em termos de incidentes. Em nosso tradicional resumo, reunimos as histórias mais impressionantes relatadas pela mídia. Há o rescaldo da fuga de informação da seguradora australiana Medibank, a investigação sobre o enorme vazamento da Nickelodeon e até funcionários pouco confiáveis que gostam dos milhões da Amazon.
Engenharia social x questões sociais
O que aconteceu: o Ministério da Saúde e Assuntos Sociais da Saxônia foi vítima de um ataque de BEC.
Como aconteceu: o estado alemão da Saxônia instalou mais de 800 quilômetros de cercas de arame em 2020 para combater a disseminação da peste suína africana. Em fevereiro de 2023, o Ministério da Saúde e Assuntos Sociais da região recebeu a fatura do fornecedor da Baixa Saxônia referente a mais 50 quilômetros de cercas. Os invasores que tiveram acesso à correspondência comercial decidiram tirar proveito da situação e realizar um ataque de BEC. No início de março, os fraudadores, disfarçados de contraparte, enviaram um e-mail para o ministério com um "esclarecimento" sobre a alteração dos dados bancários para o pagamento da entrega. Os funcionários do ministério não suspeitaram de nada e transferiram 225.000 euros para a conta dos fraudadores.
Um representante do órgão estatal disse aos jornalistas que o pagamento das faturas é feito numa base "a quatro olhos", ou seja, requer a concordância de dois funcionários independentes. E, em caso de alteração de dados, os funcionários pedem esclarecimentos à empresa por meio de outro canal. A agência está agora realizando uma investigação interna para determinar por que essas precauções não foram tomadas.
Bisbilhotando a vida alheia
O que aconteceu: um agente da lei do Texas se declarou culpado por usar um sistema de serviço para localizar geograficamente seus conhecidos usando dados de operadoras de celular.
Como aconteceu: Adrian Pena trabalhava como delegado adjunto do Gabinete do Xerife do Condado de Uvalde, Texas, e acessou os Serviços Baseados em Localização (LBS) como parte de suas obrigações profissionais a partir de 2014. O serviço permitia que os clientes registrados no aplicativo legal obtivessem a localização aproximada do assinante pelo número do celular. O LBS era de propriedade da Securus, que comprava dados de geolocalização de operadoras de celular por meio de vários intermediários.
Para que o sistema fosse usado somente para fins de aplicação da lei, para enviar uma solicitação um agente autorizado precisava fazer login com um nome de usuário e senha pessoais, inserir manualmente o número do assinante, carregar uma autorização oficial para pesquisar o número e marcar uma caixa de seleção para confirmar que o arquivo correto havia sido carregado.
De acordo com o arquivo do caso, Pena usou o serviço LBS 11 vezes em 2017 para seus próprios fins, pesquisando os números de seus conhecidos, bem como de pessoas com quem mantinha um relacionamento pessoal e seus cônjuges. Ele carregou arquivos arbitrários no sistema como documento de apoio e, em 8 ocasiões, possivelmente um arquivo em branco chamado Blank doc.docx. O delegado adjunto piorou sua situação ao mentir para os investigadores quando perguntado diretamente se ele usava o sistema para uso pessoal. Em junho de 2023, um ano após a apresentação das acusações, Pena se declarou culpado de obter ilegalmente dados telefônicos confidenciais. Ele pode pegar até 10 anos de prisão.
Vítima condenada sem direito de defesa
O que aconteceu: uma pessoa que teve sua conta do PayPal roubada, foi condenada a pagar US$ 1,2 milhão à Adidas e à NBA por fraude.
Como aconteceu: em dezembro de 2022, a conta do PayPal de Sarah Luke, moradora de Byron Bay, Austrália, mãe solteira com quatro filhos, foi usada para fazer centenas de transações fraudulentas.
Luke acredita que a origem dos problemas foi uma violação de dados na seguradora australiana Medibank dois meses antes, mas a empresa nega qualquer conexão. A australiana acredita que a conta foi invadida como parte de um ataque maciço de preenchimento de credenciais que comprometeu quase 35.000 carteiras do PayPal nas mesmas datas em dezembro.
Quando Luke recebeu o primeiro e-mail informando que produtos falsos da Adidas estavam sendo vendidos em seu nome, ela não levou a sério e o excluiu. Mas o problema acabou sendo real. A fabricante de roupas esportivas e a NBA processaram, separadamente, a australiana por violação de suas marcas registradas.
Provavelmente não houve comércio de produtos falsificados. Os cibercriminosos podem ter usado a marca da Adidas e da NBA em sites de phishing para enganar outras vítimas, recebendo os pagamentos através da conta do PayPal da australiana. As empresas norte-americanas geralmente recorrem a processos de proteção de suas marcas registradas para combater sites falsos. O processo contra Sarah Luke foi aberto nos EUA e correu sem sua participação. Os juízes decidiram que ela deve para pagar US$ 200 mil para a NBA e US$ 1 milhão para a Adidas e a notificaram eletronicamente. Há seis meses, a cidadã australiana vem tentando, sem sucesso, obter justiça e anular as acusações.
O Zuckerberg da China
O que aconteceu: a polícia chinesa deteve um estudante formado pela Universidade de Pequim por uso de informações obtidas ilegalmente em um site para avaliar a aparência dos alunos.
Como aconteceu: a polícia entrou em ação após publicações em um fórum de estudantes da Universidade Popular Chinesa. Os usuários compartilharam capturas de tela da plataforma usada para avaliar a atratividade dos alunos. A julgar pelas capturas de tela, o site continha a foto, o nome, o número do aluno, o nome da faculdade e a cidade natal dos alunos que estudaram na universidade de 2014 a 2020.
O incidente foi amplamente discutido na rede social Weibo, com alguns usuários comparando o criador do site a Mark Zuckerberg - em 2003, enquanto estudava em Harvard, ele criou um site - o predecessor do Facebook - para comparar as fotos dos alunos por atratividade.
A administração da universidade reagiu à notícia ultrajante dizendo que estava preocupada com a possível obtenção ilegal de informações sobre os alunos e, por isso, recorreu à polícia. A pessoa presa sob suspeita de roubo de dados era um estudante de 25 anos formado pela Universidade Popular Chinesa, de sobrenome Ma. Não foi revelado como exatamente ele obteve as informações sobre os alunos. Entretanto, durante seus estudos, Ma trabalhou como assistente no centro de informações da universidade e conseguiu usar uma conta de acesso de alto nível.
Vazamento de animação
O que aconteceu: O Nickelodeon Animation Studios está investigando um grande vazamento de documentos e arquivos de mídia.
Como aconteceu: No final de junho, começaram a circular rumores on-line sobre um vazamento do departamento de animação da Nickelodeon. A quantidade total de arquivos distribuídos através do mensageiro instantâneo Discord, supostamente, totalizava 500 gigabytes e continha filmagens inéditas, documentos do Photoshop, scripts e muito mais. A Nickelodeon confirmou a autenticidade dos dados, mas esclareceu que alguns deles tinham dez anos de idade. O vazamento provavelmente ocorreu em janeiro de 2023 em um dos portais da empresa. Devido a um erro de autenticação, os usuários conseguiram acessar o departamento de animação. A Nickelodeon fechou a brecha dois meses depois.
A fórmula em um e-mail
O que aconteceu: O Japão acusou um pesquisador chinês de encaminhar informações confidenciais para uma empresa química em Pequim.
Como aconteceu: Quan Hengdao trabalhou como pesquisador no Instituto Nacional de Ciência e Tecnologia Industrial Avançada do Japão desde 2002. De acordo com a investigação, em abril de 2018, ele encaminhou um e-mail com informações sobre a síntese de compostos de flúor para a conta de e-mail da empresa chinesa. Uma semana depois de receber o e-mail, a empresa solicitou uma patente na China e a recebeu em junho de 2020. A patente inclui informações semelhantes às do vazamento. Além disso, de acordo com relatos da mídia japonesa, a empresa chinesa que recebeu os dados da Quan Hengdao tem um escritório no Japão, onde trabalha a esposa do pesquisador. A investigação acredita que o uso ilegal dos dados da pesquisa prejudicou os interesses nacionais. O réu discorda da acusação e acredita que os dados não constituem um segredo comercial.
Terceirizados fictícios da Amazon
O que aconteceu: uma gerente de depósito da Amazon e seus cúmplices roubaram US$ 9,5 milhões da empresa por meio de empresas de fachada. Os fraudadores usaram os recursos para comprar casas e carros de luxo.
Como aconteceu: o esquema fraudulento, que envolveu sete pessoas, foi "liderado" pela gerente de depósito da Amazon, Kayrika Wortham. A funcionária era responsável pela aprovação das empresas contratadas e pelo pagamento das faturas de seus serviços. A essência do esquema era a retirada de dinheiro por meio de empresas fictícias. Wortham fornecia as informações falsas a subordinados não envolvidos no esquema e os instruía a inserir os novos contratados no sistema corporativo, aprovando-os ela mesma. Os membros da equipe enviavam faturas falsas para a Amazon em nome de empresas inexistentes, Wortham aprovava o pagamento e os fraudadores recebiam transferências para as contas que controlavam. Os dados (nomes e números de seguro nacional) para registrar os contratantes fictícios foram fornecidos à líder do grupo por dois de seus colegas que trabalhavam em outras divisões da Amazon. Um deles usou dados de familiares e conhecidos, e o outro comprou dados roubados. O grupo conseguiu envolver outro gerente de outro depósito da Amazon, que continuou a coordenar as empresas terceirizadas falsas mesmo depois que Wortham deixou a Amazon em março de 2022.
Wortham e seu parceiro gastaram os "ganhos" obtidos para comprar uma casa de luxo, bem como na aquisição de uma frota de carros Lamborghini Urus, Dodge Durango, Tesla Model X, Porsche Panamera e uma motocicleta Kawasaki ZX636.
Kairika Wortham foi condenada a 16 anos de prisão e ordenada a devolver integralmente o valor roubado à Amazon. Os outros membros do grupo também estão aguardando as sentenças judiciais. Às vezes, os próprios funcionários podem causar mais danos à uma empresa do que os cibercriminosos externos.
Tratamento de água em risco por causa de um software
O que aconteceu: um ex-técnico tentou remover um software para controlar uma estação de tratamento de água na Califórnia.
Como aconteceu: o incidente ocorreu em meados de janeiro de 2021 em uma estação de tratamento de água em Discovery Bay, uma cidade de 15.000 habitantes no norte da Califórnia. Rambler Gallo trabalhou de julho de 2016 até o final de 2020 como técnico de instrumentação para a Veolia North America em Massachusetts, que foi contratada para manter a estação da Califórnia. Gallo tinha acesso total ao sistema SCADA da estação de tratamento de água e era responsável pela manutenção de toda a instrumentação e dos controladores programáveis. Os sistemas industriais da fábrica estavam conectados a uma rede interna que não estava diretamente conectada à Internet. Mas ela podia ser acessada por meio de um laptop de um terceirizado que se encontrava na estação. O técnico instalou o software de acesso remoto TeamViewer nesse laptop.
Pouco depois de sua demissão, Gallo se conectou via TeamViewer ao laptop corporativo a partir de seu computador pessoal e enviou um comando para remover da rede interna um programa chamado Ignition, uma ferramenta de integração para todos os sistemas da fábrica, incluindo pressão, filtragem e composição química da água. A invasão foi descoberta um dia depois, o ex-funcionário teve o acesso negado e o programa excluído foi reinstalado. Em junho de 2023, o funcionário foi acusado por crime de informática e pode ser condenado a até 10 anos de prisão e a pagar uma multa de US$ 250.000.
IDs Bengalis
O que aconteceu: um site do governo de Bangladesh vazou os dados pessoais de 50 milhões de cidadãos do país.
Como aconteceu: o vazamento no site do Office of the Registrar General of Births and Deaths foi descoberto acidentalmente pelo pesquisador de segurança Victor Markopoulos enquanto ele procurava informações no Google para outro projeto. Ele percebeu que a URL do site de Bangladesh continha a palavra register em vez do número necessário e, quando substituída por números, produzia registros de cidadãos. Os registros continham o nome da pessoa, seus pais e avós, o número da carteira de identidade nacional, os nomes dos bancos onde transações financeiras eram realizadas e até mesmo os valores dos pagamentos.
Depois de descobrir o vazamento, o pesquisador enviou várias cartas às autoridades de Bangladesh, incluindo a Equipe de Resposta a Incidentes de Computador do governo (BGD e-GOV CIRT), mas não obteve resposta. Ele então compartilhou a história com o TechCrunch sem nomear o site específico. Somente no dia seguinte à publicação (uma semana e meia após a notificação inicial), as autoridades de Bangladesh fecharam o livre acesso aos dados dos cidadãos, e o CIRT disse que "demonstrou profissionalismo e conhecimento ao iniciar rapidamente uma investigação completa sobre a situação e não deixar pedra sobre pedra em seu esforço para entender o escopo e as implicações do vazamento de dados".