Relatório de (in) segurança: Rasteira na Amazon, violação de dados pessoais de agentes da polícia da Irlanda do Norte e pseudo-crackers
12.09.2023
VoltarEm nosso relatório tradicional de (in) segurança, trazemos notícias sobre fugas de informação no mês de agosto. A coleção de incidentes que envolvem a divulgação de informações sensíveis é grande: na Austrália, funcionários divulgaram inadvertidamente os dados dos participantes num inquérito sobre cibersegurança; na Irlanda do Norte – foram divulgados dados pessoais de todos os agentes da polícia, e na Índia, um funcionário foi mais uma vez apanhado a divulgar dados.
Um ônibus escolar para um cracker
O que aconteceu: golpistas roubaram mais de US$ 6 milhões das escolas de New Haven ao invadir o e-mail de um executivo do sistema escolar.
Como aconteceu: como muitos ataques clássicos de BEC, esta história começou com o comprometimento de uma conta de e-mail legítima. A vítima da invasão foi o diretor de operações do sistema de escolas públicas de New Haven, Thomas Lamb. Lamb era a vítima "perfeita" para os criminosos cibernéticos porque era responsável pela elaboração do relatório orçamentário de pagamentos e enviá-lo ao departamento financeiro da prefeitura para aprovação final.
Depois de obterem acesso à sua conta de e-mail, os invasores monitoraram a correspondência com fornecedores que prestavam vários serviços ao sistema escolar entre maio e junho. Antes de serem descobertos, os meliantes conseguiram se infiltrar com sucesso nas trocas de e-mail por seis vezes e, fingindo ser Lamb e os contratados, desviaram as transferências para contas. Dois dos pagamentos roubados, no valor de US$ 76.000 deveriam ter sido feitos para a Shipman & Goodwin, enquanto os outros quatro, no valor de mais de 5,9 milhões de dólares, deveriam ter sido pagos à First Student, uma empresa terceirizada que presta serviços de manutenção de ônibus escolares. Os funcionários da escola só descobriram o roubo a 23 de junho, depois de a First Student questionar por que não havia recebido os valores que lhe eram devidos. Até agora, foram recuperados US$ 3,6 milhões do que foi roubado e esperam que o seguro cubra parte da perda.
Durante as auditorias financeira e de segurança da informação, o gabinete do Prefeito afastou um funcionário do departamento financeiro e suspendeu todos os pagamentos eletrônicos para o sistema escolar, exceto as transferências de salários. Esta última medida permitiu evitar uma sétima transação fraudulenta no início de julho.
Agentes de segurança sem proteção
O que aconteceu: os dados pessoais de todos os agentes e funcionários civis dos serviços de polícia da Irlanda do Norte foram acidentalmente publicados.
Como aconteceu: ao atender uma solicitação de fornecimento de informações públicas, divulgou-se por engano uma ficha contendo dados pessoais de todos os atuais funcionários do Serviço de Polícia da Irlanda do Norte (cerca de 10.000 pessoas): nome e iniciais, posto ou patente, localização e unidade, incluindo dados sensíveis como vigilância e coleta de informações para o serviço de inteligência.
Em 3 de agosto, a polícia recebeu um pedido de um cidadão que perguntava: “Poderiam informar o número de oficiais em cada patente e o número de funcionários em cada posto?” Por descuido, ao enviar a resposta à solicitação do cidadão, em lugar de fornecer os dados resumidos, enviaram uma planilha de cálculo com a lista completa de dados de todos os agentes do departamento de segurança pública. Cinco dias após o envio da resposta, todas as informações, assim como a própria planilha, foram publicadas, em domínio público, no sítio web What Do They Know, especializado na divulgação de informações fornecidas em resposta aos pedidos dos cidadãos. O documento esteve online durante 2 horas e meia: uma hora e meia após a publicação, o erro foi comunicado ao subchefe do serviço de polícia e foi necessária mais uma hora para apagar o arquivo todo.
"Não fui eu, foram os ‘ráquers’".
O que aconteceu: uma administradora de um município canadense tentou encobrir o roubo de mais de 500 000 dólares com um ciberataque fictício e documentos falsos.
Como aconteceu: Amber Fisher trabalhava para o município de Gilbert Plains, Manitoba, desde 2018, primeiro como administradora sénior e depois como administradora-chefe. Entre setembro de 2020 e junho de 2021, fez 33 transferências da conta bancária do município para a sua conta pessoal, totalizando mais de 500 000 dólares canadenses. O incidente foi descoberto no verão de 2021, depois que a cooperativa de crédito notificou o município sobre uma transferência de uma soma significativa para uma conta registada em nome de Fisher. A funcionária foi então suspensa de suas funções.
No entanto, Fisher disse ter sido vítima de um ciberataque, alegou que o assunto já estava sendo investigado e, uma semana depois da suspensão, regressou ao seu local de trabalho. Os auditores do município pediram-lhe várias vezes os extratos bancários no final de 2021 e, em janeiro, decidiram dirigir-se diretamente à cooperativa de crédito. Fisher só forneceu os extratos em março de 2022, mas descobriu-se mais tarde que as suas versões dos documentos diferiam dos originais, o que significa que eram provavelmente falsos.
A funcionária também forneceu um rascunho de um relatório de auditoria de suspeita de fraude, cuja conclusão foi que a funcionária não estava envolvida. Mas os auditores tinham dúvidas sobre a autoria do documento. Quando os auditores compartilharam as suas suspeitas com os administradores do município, a funcionária foi novamente suspensa.
Uma empresa de contabilidade terceirizada foi chamada para realizar uma nova auditoria e descobriu que a funcionária tinha transferido 532.000 dólares para a sua conta pessoal e também pagou a si mesma 15.000 dólares por 280 horas extraordinárias. A municipalidade de Gilbert Plains só iniciou uma ação judicial contra Fisher um ano mais tarde, segundo a qual só lhe foram reembolsados 17 000 dólares e deve outros 515 dólares.
"A sua opinião é muito importante para nós (e não só)"
O que aconteceu: o governo australiano divulgou acidentalmente os dados pessoais dos participantes de uma pesquisa sobre segurança cibernética.
Como aconteceu: o escândalo da fuga de informação está relacionado com o programa Cyber Warden, uma iniciativa destinada a melhorar as competências de segurança da informação das pequenas empresas. O programa foi iniciado pelo Conselho de Organizações de Pequenas Empresas da Austrália (COSBOA) e, na fase preparatória, encomendou uma pesquisa à 89 Degrees East. Entre novembro e dezembro de 2022, 2 100 pessoas, proprietários e empregados de pequenas empresas, participaram da pesquisa online.
Mas a revelação não planejada, por parte de alguns participantes da pesquisa, ocorreu muito mais tarde, cerca de seis meses depois. Em maio, o governo australiano alocou uma verba de A$ 23 milhões para o programa Cyberstrategy. O orçamento foi alocado sem concorrência, portanto, o governo teve que responder às várias perguntas sobre o programa que o primeiro-ministro do país começou a receber.
O governo enviou documentos sobre a Cyberstrategy em resposta a solicitações recebidas. Somente depois que os materiais foram publicados no site do parlamento é que se descobriu que entre eles havia um relatório contendo dados pessoais de mais de 50 participantes da pesquisa: nomes, nomes de empresas e detalhes de contato.
Aluguel de um automóvel sem condutor
O que aconteceu: os criminosos roubaram 19 carros, alugando-os com dados roubados.
Como aconteceu: Tyrell Oliver, de 38 anos, e sete cúmplices descobriram como fraudar um serviço de aluguel de carros sem serem pegos. Primeiro, eles obtiveram dados de cartões de crédito roubados, bem como informações pessoais de cidadãos americanos. Em seguida, Oliver alugou carros usando as informações pessoais de terceiros. Ele pagou cúmplices para retirar os carros na locadora. Os meliantes voaram para aeroportos na costa leste e no meio-oeste dos EUA e, usando carteiras de motorista e cartões de crédito falsos, pegaram os carros. Eles conseguiram roubar pelo menos 19 veículos, incluindo os utilitários esportivos BMW X7, GMC Yukon e Chevrolet Suburban, com um valor total estimado de mais de US$ 1 milhão.
De acordo com o agente especial do FBI encarregado de investigar os roubos, embora a vítima direta dos agressores fosse uma locadora de automóveis, a suspeita inicialmente recaiu sobre cidadãos inocentes para os quais os fraudadores reservaram os carros. Em julho, foram apresentadas acusações de fraude eletrônica e roubo de identidade contra o grupo no Tribunal do Condado de St. Louis, em St. Louis, Missouri.
Exame impresso
O que aconteceu: Pela segunda vez em 10 anos, um funcionário público indiano foi pego vazando as questões de um exame de um concurso público.
Como aconteceu: em 16 de julho, a Comissão de Seleção de Pessoal do estado indiano de Odisha planejava um exame para o cargo de Engenheiro Júnior para preencher mais de mil vagas.
Horas antes do início do teste, a polícia prendeu nove pessoas em um hotel no estado vizinho de Bengala Ocidental. Elas estavam ligadas ao vazamento de questões do exame, e o evento foi adiado para o início de setembro. Mais oito cúmplices, incluindo o suposto mentor do esquema, foram presos no final de julho. Tratava-se de Vishal Kumar Chaurasia, 35 anos, funcionário do escritório em Patna, capital de Bihar. O esquema era o seguinte: o grupo obtinha uma cópia impressa das questões do exame e a distribuía aos clientes - candidatos aos cargos para os quais o teste estava sendo realizado. Se as perguntas do exame correspondessem às fornecidas pelos criminosos, os examinandos tinham que pagar metade do custo do serviço imediatamente e a outra metade depois que os resultados fossem anunciados
A polícia também prendeu o culpado pelo vazamento: Virendra Singh, 53 anos, que trabalhava na gráfica onde o material do exame foi impresso. Ele estava se comunicando com o líder do grupo por telefone há dois meses e confirmou, cinco dias antes do exame, que poderia fornecer as perguntas. Outros cúmplices estavam envolvidos e eram responsáveis pela distribuição dos impressos aos clientes - foram os distribuidores que foram presos pouco antes do exame.
Descobriu-se que o organizador do esquema, Vishal Kumar Chaurasia, foi pego pela segunda vez no esquema de fraude das provas de exame. Anteriormente, ele já havia sido pego em um incidente semelhante - vazamento de provas do exame para a polícia realizado pela Comissão Central de Seleção de Pessoal em 2013-2014. E seu principal cúmplice, Bijendra Kumar, já havia sido preso duas vezes por esse mesmo tipo de fraude - em conexão com os vazamentos em Madhya Pradesh em 2013-2014.
“Passar a perna” na Amazon
O que aconteceu: foi descoberto no Telegram um canal de venda de serviços de infiltrados na plataforma da Amazon.
Como aconteceu: jornalistas da CNBC descobriram como funciona o mercado negro de serviços de “intermediação” para vendedores na Amazon a partir do exemplo do canal de Telegram Amazon Magic. Através deste canal, com 13 mil participantes, bem como através de outros grupos em redes sociais e mensageiros instantâneos, os proprietários de lojas terceirizadas podem contornar os procedimentos oficiais para resolver problemas relacionados ao trabalho no “market-place”.
Por 200-400 dólares, aqueles que desejarem podem solicitar serviços como a restauração rápida de uma loja temporariamente desativada por violações, a remoção de críticas negativas e a obtenção de informações sobre os concorrentes. Por exemplo, de acordo com a lista de preços, por US$ 180 o proprietário pode obter uma captura de tela do perfil de sua loja no Paragon, o sistema interno da Amazon, e, depois de saber os motivos do fechamento temporário, entrar com um recurso.
Os serviços de mediação são procurados porque o procedimento formal para restaurar uma conta pode demorar meses, o que é proibitivo para uma empresa. De acordo com a investigação, os serviços não são prestados pelos próprios funcionários da Amazon, mas por infiltrados que procuram informantes através do LinkedIn. Os serviços clandestinos podem levar vários dias úteis para serem concluídos.
Embora a Amazon afirme que está ciente do mercado negro e que está trabalhando com o Telegram e outros serviços para eliminar os grupos intermediários, o problema existe há vários anos e os infiltrados e/ou informantes raramente são penalizados.