Relatório de (in) segurança: servidor desprotegido, vazamento de dados da marina e ataque à cadeia de suprimentos

29.05.2024

Voltar

Chegou a hora de compartilhar nosso tradicional resumo mensal dos principais incidentes de segurança da informação. Na edição de maio, revelamos: o caso de uma empresa médica inescrupulosa; o vazamento acidental de dados causado por um provedor de SaaS; as consequências da negligência do maior fabricante de eletrônicos da Índia.

Erro de cálculo analítico

O que aconteceu: a empresa estado-unidense Sisense foi vítima de um ciberataque.

Como aconteceu: em 11 de abril, A Agência de Segurança Cibernética e Proteção de Infraestrutura (CISA) dos EUA informou que a empresa norte-americana, a Sisense, havia sido hackeada.

A empresa atua no ramo de desenvolvimento de software de inteligência de negócios. A lista de clientes da empresa inclui algumas das maiores empresas do mundo: Nasdaq, Philips Healthcare, Verizon, Air Canada e outras.

O incidente veio à tona graças a pesquisadores anônimos. Eles notificaram a CISA sobre a violação dos dados dos clientes da Sisense. Uma investigação preliminar revelou que as organizações de infraestrutura crítica dos EUA foram afetadas. 

Outros detalhes do incidente ainda não são conhecidos.

Os representantes do órgão regulador aconselharam os clientes da Sisense a alterar todas as credenciais e tokens de acesso relacionados às ferramentas e serviços da empresa. Posteriormente, o pesquisador Brian Krebs compartilhou uma mensagem da Sisense que foi distribuída para a lista de discussão privada dos clientes. Em sua mensagem, os funcionários da empresa duplicaram as recomendações do órgão regulador e confirmaram o vazamento dos dados dos clientes.

Desculpe, está aberto!

O que aconteceu: A Microsoft deixou um dos servidores de desenvolvimento interno do mecanismo de busca Bing desprotegido e disponível publicamente.

Como aconteceu: Os pesquisadores do SOCRadar encontraram um servidor da Microsoft desprotegido e disponível publicamente. Ele estava hospedado no serviço de nuvem Azure da Microsoft e armazenava dados internos. O conjunto de dados incluía:

• Código
• Scripts
• Senhas
• Credenciais de usuário, que foram usadas por funcionários da Microsoft para acessar outros sistemas internos.

Embora os pesquisadores tenham notificado a Microsoft sobre o problema em 6 de fevereiro, o problema não foi resolvido até 5 de maio. Não se sabe se alguém, além dos pesquisadores, acessou o servidor, pois ele não estava protegido por senha. Um caso semelhante ocorreu no início de 2020.

Anônimo, certo?

O que aconteceu: O Google excluirá bilhões de registros de usuários do modo anônimo do navegador Chrome.

Como aconteceu: Em 2020, uma ação coletiva de US$ 5 bilhões (mais de R$ 10 bilhões) foi movida contra o Google por coletar dados de usuários no modo “Anônimo” do navegador Chrome. Inicialmente, os representantes da corporação queriam fazer um acordo antes do julgamento, mas o juiz negou o pedido. Ele argumentou que a descrição do modo “Anônimo” não informava totalmente os usuários sobre as ações da empresa.

No final, o Google chegou a um acordo com os autores da ação, segundo o qual a empresa atualizaria a descrição da página inicial do modo “Anônimo”, bem como removeria alguns dados sobre os usuários do “Anônimo”. Além disso, um porta-voz da corporação disse que a empresa estava “feliz em excluir dados técnicos antigos que nunca foram associados a um indivíduo e nunca foram usados para qualquer forma de personalização”.

Vazamentos de dados no estilo “infiltrado”

O que aconteceu: dados de 7,5 milhões de clientes da fabricante indiana de eletrônicos boAt foram vazados.

Como aconteceu: Em 5 de abril, um cracker apelidado de "ShopifyGUY" fez o upload da base de dados de clientes da empresa indiana boAt para a darknet. O conjunto de dados incluía as seguintes informações de clientes: 

• Nomes
• Endereços
• Números de telefone
• Correios eletrônicos, etc. 

De acordo com o cracker, a violação ocorreu em março e afetou 7,5 milhões de clientes da empresa.

Representantes da empresa indiana disseram que uma investigação estava em andamento, mas não revelaram nenhum detalhe. De acordo com relatos da mídia, o vazamento foi causado por negligência dos funcionários.

Inicialmente, os especialistas duvidaram da autenticidade dos dados, pois o valor da base de dados vazada era de apenas US$ 2 (R$10,00). Recentemente, vários meios de comunicação indianos confirmaram a autenticidade das informações.

Marina craqueada

O que aconteceu: Os criminosos cibernéticos invadiram a empresa de vendas de iates MarineMax e obtiveram acesso a informações confidenciais sobre seus clientes e funcionários.

Como aconteceu: Em 1º de abril, representantes da MarineMax, a maior varejista de iates do mundo, alegaram que um terceiro desconhecido havia obtido acesso não autorizado a partes do ambiente de informações da empresa. Como resultado do incidente, alguns processos comerciais foram interrompidos e alguns dados confidenciais, incluindo dados pessoais, foram vazados.

O grupo Rhysida assumiu a responsabilidade pelo ataque e colocou a base de dados da empresa à venda por 15 BTC (mais de R$ 5 milhões). Como prova de autenticidade, o grupo compartilhou uma série de capturas de tela, que contêm o seguinte:

• Documentos financeiros da MarineMax
• Carteiras de Habilitação dos funcionários da empresa
• Passaportes dos funcionários e muito mais.

Pandas em perigo

O que aconteceu: A plataforma de negociação PandaBuy foi vítima de um ataque cibernético que levou ao vazamento de dados de mais de um milhão de clientes.

Como aconteceu: Em 1º de abril, dois agentes mal-intencionados, conhecidos como Sanggiero e IntelBroker, fizeram o upload da base de dados da plataforma on-line PandaBuy para a darknet. Os invasores conseguiram roubar informações como:

• Nome completo
• ID de usuário
• Número de telefone
• Endereço IP
• Datas e números dos pedidos
• Endereço residencial
• Código postal, etc.

Os crackers alegaram que “os dados foram roubados pela exploração de várias vulnerabilidades críticas na API da plataforma e foram identificadas outras falhas que permitiram o acesso ao serviço interno do site”.

A própria empresa ainda não comentou sobre o vazamento, mas a PandaBuy está tentando encobrir o incidente censurando as publicações dos usuários no Discord e no Reddit.

Forasteiros em casa 

O que aconteceu: A varejista americana The Home Depot foi vítima de um ataque à sua cadeia de suprimentos.

Como aconteceu: Em 4 de abril, um cracker conhecido como "IntelBroker" fez o upload da base de dados da The Home Depot na darknet. De acordo com a declaração do próprio cracker, ele continha os dados corporativos de cerca de 10.000 funcionários do grupo varejista.

A Home Depot não negou a violação. Os funcionários da empresa afirmaram que o vazamento ocorreu devido a um erro cometido por funcionários de um de seus fornecedores de SaaS, que inadvertidamente expuseram uma pequena amostra de dados (nomes, e-mails, IDs de usuários) dos funcionários durante um teste do sistema.

Total falta de confidencialidade médica

O que aconteceu: Empresa de telemedicina Cerebral foi multada em US$ 7 milhões (mais de R$ 35 milhões) por compartilhar dados confidenciais.

Como aconteceu: A Comissão Federal de Comércio dos EUA (FTC) multou a empresa de telemedicina Cerebral por fornecer informações confidenciais de clientes a terceiros para fins de publicidade.

De acordo com os órgãos reguladores, a Cerebral transferiu dados de mais de 3 milhões de usuários para plataformas como LinkedIn, Snapchat e TikTok. Os dados foram coletados por meio de um site que usava aplicativos e serviços de rastreamento. Os dados transmitidos incluíam:

• Nomes
• Informações médicas
• Endereços
• Números de telefone
• Datas de nascimento
• Endereços IP
• Informações sobre seguros e outros dados.

Fraude Dados pessoais Insider