Relatório de (In) segurança: o roubo de dados dos apaixonados por pizza, uma multa milionária e vazamento de dados de fornecedores de um fabricante de aviões

05.10.2023

Voltar

Em nosso relatório tradicional de (in) segurança, trazemos notícias sobre incidentes de segurança de TI "clássicos" e não triviais. Em setembro, houve: a violação de dados de fornecedores da Airbus; uma invasão em grande escala da plataforma Freecycle; e a chantagem da Pizza Hut Australia.

Pepperoni sabor Dados pessoais

O que aconteceu: os crackers acessaram os dados de 1 milhão de clientes da Pizza Hut Australia. 

Como aconteceu: os invasores afirmam ter acessado os dados da Pizza Hut há vários meses por meio do Amazon Web Services, usando vários pontos de entrada. Como prova da invasão, os criminosos cibernéticos forneceram várias amostras de dados que continham 200.000 registros. Uma das amostras continha informações sobre 100.000 clientes, incluindo: 

  • Nomes
  • E-mails
  • Endereços postais
  • Números de celulares
  • Senhas
  • Tipo de serviço (entrega ou retirada no balcão)
  • Números de cartões de crédito. (Os dados dos cartões de crédito estavam criptografados e as senhas possuíam hash).

Presumivelmente, os crackers poderiam ter acessado 30 milhões de registros com detalhes sobre pedidos e dados de 1 milhão de clientes. Sabe-se que os criminosos cibernéticos exigiram US$ 300.000 para excluir todos os dados.

Especialistas em ataques a bancos de dados perguntaram à gerência da Pizza Hut Austrália se eles estavam cientes da invasão e se planejavam notificar os clientes afetados, mas não houve resposta à consulta.

 

Quase todo mundo

O que aconteceu: a plataforma Freecycle relatou uma violação maciça de dados que afetou mais de 7 milhões de usuários.

Como aconteceu: O Freecycle é uma plataforma on-line para compartilhar coisas, cujo banco de dados contém dados de 11 milhões de usuários. Em 30 de maio, soube-se que a maior parte desses dados foi exposta. Uma pessoa desconhecida colocou os dados dos usuários da plataforma à venda em um fórum de hackers e alertou as vítimas para que alterassem suas senhas. O invasor alegou que assumiu o controle da conta do fundador da plataforma e, em seguida, conseguiu obter acesso total aos dados dos membros do Freecycle. De acordo com os representantes da plataforma, as informações roubadas incluíam:

  • Nomes de usuários
  • Identificadores
  • E-mails
  • Senhas 

O fundador da Freecycle alegou que os especialistas da empresa tomaram conhecimento do vazamento em 30 de agosto, quase três meses depois que os dados foram expostos. Os funcionários da plataforma Freecycle pediram desculpas às partes afetadas e relataram o incidente às autoridades.

 

Desanonimização de livros

O que aconteceu: os dados de 1,2 milhão de clientes da cadeia de livrarias australiana Dymocks foram expostos após um ataque cibernético. 

Como aconteceu: No dia 8 de setembro, os clientes da Dymocks receberam mensagens em nome do diretor administrativo da empresa notificando que o vazamento de dados ocorreu e que uma investigação foi iniciada. As informações roubadas incluíam: 

  • Nomes dos clientes
  • Datas de nascimento
  • Endereços postais e de e-mail
  • Sexo. 

Os representantes da Dymocks afirmaram que o incidente não afetou os dados financeiros dos usuários.

O especialista cibernético Troy Hunt, que notificou os funcionários da Dymocks sobre o vazamento de dados, sugere que a invasão poderia ter ocorrido meses atrás, já que algumas das contas comprometidas foram criadas em junho de 2023. Além disso, o especialista levantou a questão de por que a livraria estava coletando e armazenando as datas de nascimento e o gênero dos clientes. O especialista acredita que a empresa coletou uma quantidade excessiva de dados. Hunt também disse que cerca de um quarto dos 1,2 milhão de registros no conjunto de dados da Dymocks estavam rotulados como "inativos".

 

Dados pessoais espalhados

O que aconteceu: o fabricante de equipamentos de golf Callaway divulgou dados de 1,1 milhões de clientes. 

Como aconteceu: O vazamento veio à tona depois que os representantes da Callaway enviaram uma carta informando que em 1º de agosto, após um incidente, alguns dos serviços da empresa ficaram indisponíveis e pessoas desconhecidas obtiveram acesso aos dados dos clientes, mantidos nos sistemas de TI da empresa. Os dados comprometidos dos clientes incluíam:

  • Nomes e sobrenomes
  • Endereços de entrega
  • E-mail
  • Números de telefones
  • Histórico de pedidos
  • Senhas das contas.

Os representantes da empresa alegaram que detectaram o incidente em um estágio inicial e tomaram medidas imediatas para impedi-lo. 

De acordo com a notificação de vazamento, o incidente afetou os dados de 1.114.954 usuários. Os representantes da Callaway afirmam que nenhuma informação de pagamento, número de identificação ou número de seguro social foi exposto como resultado do incidente.

 

Solicitação de dados

O que aconteceu: Os órgãos reguladores suecos impuseram uma multa de US$ 3 milhões a uma empresa de seguros por vazar os dados de 650.000 clientes.

Como aconteceu: A Autoridade Sueca de Privacidade (IMY) iniciou uma investigação contra a empresa Trygg-Hansa após receber uma denúncia de um cliente da Moderna Försäkringar (agora parte da Trygg-Hansa). Descobriu-se que o cliente, ao clicar em links nas páginas de cotação, viu que o servidor da Trygg-Hansa estava disponível publicamente. Estavam expostos os dados dos clientes:

  • Informações sobre saúde
  • Informação financeira
  • Dados de contato
  • Números do seguro social
  • Termos do seguro social. 

Os dados estavam disponíveis para usuários não autorizados de outubro de 2018 a fevereiro de 2021. Os especialistas da IMY detectaram 202 casos de acesso aos dados pessoais dos clientes por usuários não autorizados.

Os funcionários responsáveis da seguradora não conseguiram resolver os problemas mesmo depois de receberem o relatório do incidente, por isso foi aplicada uma multa de US$ 3 milhões.

 

Forncedores “online”

O que aconteceu:  Os dados de vários milhares de fornecedores da fabricante de aeronaves Airbus foram parar na darknet após a invasão da conta de um funcionário da Turkish Airlines. 

Como aconteceu: De acordo com o relatório da Hudson Rock, um invasor informou no início de setembro que obteve acesso ao portal da Airbus na Web depois de comprometer a conta de um funcionário da Turkish Airlines. O invasor também afirmou que conseguiu obter as informações pessoais de 3.200 fornecedores confidenciais da Airbus, com detalhes de contato como:

  • Nomes
  • Endereços
  • Números de telefone
  • E-mails 

Mais tarde, um porta-voz da gigante aeronáutica confirmou que os invasores haviam violado a conta de TI de um cliente da Airbus. De acordo com o funcionário, a conta do cliente foi usada para baixar documentos comerciais do portal da Airbus na Web.

A partir do relatório da Hudson Rock, sabemos que o computador do funcionário da companhia aérea turca que o cracker usou para invadir a Airbus foi infectado com malware de roubo de informações em agosto de 2023. Os investigadores cibernéticos especulam que o funcionário tentou baixar uma versão pirata do Microsoft .NET Framework.

Inscreva-se aqui para receber notícias, artigos e white papers.