Home > Blog > Relatório de (In) segurança: a terceirizada que vazou dados do contratante, a invasão de uma companhia aérea e o caso de fraude corporativa

Relatório de (In) segurança: a terceirizada que vazou dados do contratante, a invasão de uma companhia aérea e o caso de fraude corporativa

01.11.2023

Voltar

Tradicionalmente, no final do mês, reunimos uma seleção de incidentes de SI de alto nível. Nesta edição, você encontrará detalhes sobre:

  • O infiltrado em uma empresa japonesa de telecomunicações.
  • O vazamento de dados de funcionários em uma varejista francesa.
  • A fraudadora que gastou o dinheiro de seu empregador em uma vida luxuosa.

Cartas jogadas ao vento

O que aconteceu: Os criminosos cibernéticos invadiram os servidores da Air Europa e obtiveram acesso às informações de cartão de crédito de seus clientes

Como aconteceu: Em 10 de outubro, a Air Europa enviou cartas aos clientes notificando que o ataque cibernético pode ter permitido que criminosos cibernéticos acessassem os dados de pagamento dos clientes. A empresa não divulgou o número exato de clientes afetados. Sabe-se que os criminosos cibernéticos obtiveram acesso a números de cartões de crédito, datas de validade e códigos CCV. Ao mesmo tempo, a manutenção dos códigos CCV contradiz as regras do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).

Os representantes da empresa informaram que a atividade suspeita nos sistemas internos foi detectada em 28 de agosto. Os representantes da companhia aérea informaram os clientes afetados sobre o incidente apenas 41 dias depois. Os funcionários da Air Europa afirmam que não houve casos confirmados de uso indevido de dados roubados, mas pediram aos clientes que bloqueassem os cartões de crédito se eles fossem usados para pagar as passagens (por precaução).

 

Pedido de desculpas sincero

O que aconteceu: uma funcionária da empresa escocesa Panda Rosa Metals foi condenada a 40 meses de prisão por desviar o dinheiro de seu empregador

Como aconteceu: Colleen Muirhead, de 55 anos, funcionária da empresa de reciclagem de metais, estava gastando o dinheiro de seu empregador em compras caras e férias. A fraude foi descoberta por um sócio sênior da empresa durante uma verificação de antecedentes. A investigação revelou que a assistente administrativa havia criado várias contas falsas para as quais ela transferia fundos corporativos. No total, a mulher fez várias transferências de contas da empresa no valor de US$ 1,8 milhão.
 
Os colegas de Colleen Muirhead disseram que a mulher podia se dar ao luxo de passar férias caras com toda a família (a mulher tem quatro filhos e sete netos), pagar a conta da organização de um banquete em um evento beneficente e comprar carros.  A mulher se declarou culpada e alegou ter pago o casamento do filho e comprado várias caminhonetes. Seu advogado revelou que ela até tentou se desculpar com a família proprietária da Panda Rosa Metals.

 

O empreiteiro não chegou a tempo

O que aconteceu: um cracker publicou em domínio público os dados de 8 mil funcionários da varejista francesa Decathlon.

Como aconteceu:  em 7 de setembro, os especialistas do vpnMentor encontraram um banco de dados na darknet que continha as seguintes informações sobre os funcionários da Decathlon:

  • Nomes Completos
  • Números de Telefone
  • Endereços de e-mails
  • Países e cidades de residência
  • Tokens de autenticação
  • Fotos

De acordo com especialistas do vpnMentor, o cracker publicou os dados que foram vazados em 2021 da rede da Bluenove, que é parceira da Decathlon. Em 9 de março de 2021, os especialistas cibernéticos descobriram que a Bluenove estava armazenando os dados coletados em um armazenamento em nuvem configurado incorretamente. Os especialistas relataram a descoberta aos representantes da Bluenove, e o acesso aos dados foi impedido em 13 de abril. Mas, como se viu, a empresa não foi capaz de corrigir a violação sem consequências: pelo menos um invasor conseguiu obter acesso aos dados dos funcionários da Decathlon antes que os especialistas da Bluenove reconfigurassem os direitos de acesso.

 

Os dados dos participantes de um festival de cinema correm o risco de serem vazados

O que aconteceu: os dados dos participantes do Festival Internacional de Cinema da Índia (IFFI) foram parar em domínio público.

Como aconteceu: em setembro, foram abertas as inscrições para o IFFI, o maior festival de cinema da Ásia, que será realizado em novembro. Em outubro, soube-se que houve um vazamento de dados sobre os participantes registrados no festival.

Descobriu-se que qualquer visitante do site oficial do IFFI em uma determinada URL poderia acessar um repositório desprotegido com informações sobre os participantes. Supostamente, o repositório continha os dados de 550 participantes:

  • Carteiras de Identidade
  • Números de telefones
  • Endereços
  • Datas de nascimento
  • Portfólio com links para as obras cinematográficas

Um dos participantes afetados disse que estava mais preocupado não com o comprometimento de informações pessoais, mas com o fato de que qualquer pessoa poderia ver seu trabalho, que foi carregado por meio de links fechados para o YouTube e o Google Drive. Somente os usuários que possuem os links podem acessar os vídeos dos participantes do festival. Os cineastas fazem isso para encontrar produtores ou editores que concordariam em comprar seus trabalhos mais tarde e depois publicá-los em domínio público. O vazamento de informações sobre os trabalhos de um cineasta reduz suas chances de participação bem-sucedida no IFFI e em outros festivais de cinema.

Depois que as notícias sobre o incidente foram divulgadas na mídia, a IFFI Goa bloqueou o acesso ao catálogo de arquivos em seu servidor.

 

Um infiltrado experiente

O que aconteceu: a empresa japonesa de telecomunicações NTT expôs dados de 9 milhões de clientes

Como aconteceu: a NTT começou a investigar o incidente em 2022, depois que vários clientes reclamaram de um provável vazamento de dados. A empresa realizou uma investigação interna, mas não encontrou nenhuma irregularidade. Depois disso, os policiais se juntaram à investigação. Descobriu-se que, durante 10 anos, um dos funcionários havia vazado dados de clientes em troca de dinheiro. O funcionário inescrupuloso tinha acesso a um servidor onde estavam armazenadas as seguintes informações sobre os clientes

  • Endereços
  • Nomes
  • Números de telefones

De acordo com os representantes da empresa, o funcionário baixou dados confidenciais em um dispositivo USB e depois os vendeu. Os funcionários da empresa também informaram que o funcionário vazou dados de cartões de crédito dos clientes.

Em uma coletiva de imprensa em 17 de outubro, os executivos da NTT West pediram desculpas aos clientes afetados. Eles admitiram que os métodos de segurança da informação implementados eram ineficazes. Em alguns casos, os funcionários da empresa não conseguiram cumprir nem mesmo os requisitos básicos de segurança.

 

Vazamento internacional de dados

O que aconteceu: Os dados dos clientes da empresa japonesa Casio foram disponibilizados publicamente.

Como aconteceu: Os representantes da empresa informaram que os crackers conseguiram invadir os servidores da plataforma educacional ClassPad e obter acesso aos dados dos usuários. Os especialistas da empresa japonesa detectaram o incidente em outubro, após uma falha na plataforma educacional. Os invasores obtiveram acesso aos seguintes dados:

  • Nome dos clientes
  • Endereços de e-mail
  • País de residência
  • Informações sobre o uso do serviço
  • Informações de compra, que incluem método de pagamento, código de licença, detalhes do pedido.
  • Os representantes da Casio afirmam que os crackers não conseguiram comprometer o banco de dados onde estavam armazenados os dados dos cartões bancários.

No total, os criminosos cibernéticos obtiveram acesso a mais de 90.000 registros com dados de clientes japoneses e 35.000 registros com dados de clientes de 149 países.

 

Solicitação de dados

O que aconteceu: Um ex-gerente de TI da Marinha vazou dados pessoais em troca de dinheiro

Como aconteceu: De acordo com os registros do tribunal, em agosto de 2018, o gerente de TI Marquis Hooper aproveitou-se de seu cargo e abriu uma conta em uma empresa que gerencia um banco de dados de milhões de pessoas. A empresa só concede acesso a esse banco de dados mediante solicitação oficial de empresas e órgãos governamentais. Hooper disse à empresa que a Marinha precisava acessar o banco de dados para verificação de antecedentes militares. Depois que a conta foi criada, o gerente de TI conectou sua esposa a ela e eles fizeram o download das informações pessoais de 9.000 pessoas do banco de dados. Essas informações foram vendidas por US$ 160.000 a vários usuários da darknet. Alguns dos dados os invasores já conseguiram usar em esquemas fraudulentos.

Em dezembro de 2018, a conta de Marquis Hooper foi bloqueada por suspeita de fraude. Mas isso não impediu Hooper de encontrar um cúmplice, a quem ele ofereceu 2500 mil dólares para abrir uma conta supostamente para as necessidades da Marinha. O cúmplice solicitou a abertura da conta, mas a empresa pediu uma autorização oficial com a assinatura de um oficial de suprimentos. Hooper forneceu documentos falsos ao cúmplice, mas mesmo assim a empresa se recusou a abrir a nova conta. O Serviço de Investigação Criminal Naval (NCIS), o Escritório Federal de Investigação (FBI) e o departamento de Investigações de Segurança Interna (HSI) estiveram envolvidos na investigação do esquema fraudulento. Marquis Hooper foi condenado a 5,5 anos de prisão, e sua esposa está aguardando a sentença. Segundo informações, a mulher pode pegar uma sentença de 20 anos de prisão e uma multa de US$ 250.000.
 


Dados pessoais Ex-funcionários Fraude Insider

Inscreva-se aqui para receber notícias, artigos e white papers.
© 2024 SearchInform LTD
All rights reserved.
Usamos cookies em nosso site para tornar nosso serviço mais eficiente e melhorar a sua experiência de usuário. Ao continuar a usar o nosso site, você concorda com a nossa política de cookies.
OK
POLÍTICAS DE USO DE COOKIES