Home > Blog > Relatório de (in) segurança: Especialista em SI que troca de time, roubo de dados biométricos por terceirizados prejudicados e invasão da plataforma de assinatura eletrônica

Relatório de (in) segurança: Especialista em SI que troca de time, roubo de dados biométricos por terceirizados prejudicados e invasão da plataforma de assinatura eletrônica

06.06.2024

Voltar

Compilamos em nosso resumo mensal de incidentes de SI os que mereceram destaque no mês maio. Nesta edição incluímos informações sobre funcionários e prestadores de serviços vingativos, vazamentos de dados nas maiores empresas do mundo e vulnerabilidades não corrigidas..

Eu não me inscrevi para isso! 

O que aconteceu: A plataforma de assinaturas eletrônicas Dropbox Sign foi vítima de um ciberataque.

Como aconteceu: atacantes desconhecidos conseguiram comprometer a conta de serviço do Dropbox Sign e usá-la para obter acesso à ferramenta de configuração do sistema automatizado interno da plataforma.

Desta forma, os crackers conseguiram roubar dados dos clientes, entre eles:

  • Nome completo
  • Endereços de e-mail
  • Senhas (no formato hash).
  • Chaves API e tokens de autenticação OAuth.

Em resposta ao incidente, os especialistas da empresa começaram a trabalhar na mitigação das consequências do mesmo, redefiniram as senhas dos usuários, notificaram os clientes sobre o vazamento e encerraram todas as sessões. Além disso, as chaves API e os tokens OAuth foram rotacionados.

Deve-se observar que, com esse conjunto de dados, agentes mal-intencionados poderiam ter obtido acesso aos documentos dos clientes. No entanto, representantes do Dropbox afirmaram que não havia confirmação disso.

A melhor defesa é o ataque

O que aconteceu: um especialista em SI chantageou seu antigo empregador com dados roubados.

Como aconteceu: de maio de 2022 a junho de 2023, Vincent Cannady trabalhou como pentester para uma empresa internacional de TI, mas foi demitido por baixo desempenho. Após a demissão, Vincent deveria devolver todos os dispositivos e dados corporativos e receber duas semanas de salário como indenização.

No entanto, ele considerou o valor da indenização insuficiente. Então, ele usou o laptop corporativo para baixar informações corporativas confidenciais, incluindo listas de possíveis vulnerabilidades para seu armazenamento pessoal na nuvem e, posteriormente, usou esses dados para chantagear o ex-empregador.

Vincent exigiu inicialmente um valor equivalente a seu salário de cinco anos. Mais tarde a exigência aumentou para 1,5 milhões. Em suas ameaças, o ex-pentester afirmou que se não recebesse o valor desejado como indenização divulgaria os dados confidenciais.  

0 ex-empregador Vicent não só não pagou ao chantagista, como também abriu um processo legal contra o ex-empregado. O chantagista foi condenado por extorsão de acordo com a Lei Hobbs, com uma pena máxima de 20 anos de prisão.

Atingir um nervo 

O que aconteceu: Dados de 49 milhões de clientes da Dell foram vazados para domínio público.

Como aconteceu: O maior fabricante de equipamentos de informática do mundo confirmou o vazamento de dados e começou a enviar notificações às vítimas. Os representantes da empresa informaram que o portal que continha informações sobre os clientes e suas comprar foi acessado por pessoas não autorizadas.

Os dados vazados incluíam informações sobre os equipamentos, pedidos e dados pessoais dos clientes:

  • Descrição dos produtos
  • Números de série
  • Datas dos pedidos
  • Chamadas ao serviço técnico
  • Informações sobre garantia dos produtos
  • Nomes e sobrenomes
  • Endereço físico

Os representantes da empresa que estavam trabalhando com as autoridades policiais e com um especialista em SI externo.

Importante destacar que um atacante usando o pseudônimo Menelik, pouco antes, havia tentado vender uma base de dados com informação similar em um fórum de crackers. Segundo o cracker ele roubou os dados da Dell sobre compras realizadas entre 2017 e 2024.

Logo depois de ter sido publicado, o post do cracker desapareceu da rede. Isso pode ser um indicativo que o cracker já havia conseguido encontrar um comprador.

Não foram tão boas as notícias...

O que aconteceu: vazamento de dados de usuários e funcionários de dois grandes veículos de mídia estrangeiros.

Como aconteceu: No dia 3 de maio, invasores desconhecidos desfiguraram os sites do The Post Millennial e do Human Events, grandes veículos de mídia social e política pertencentes ao Human Events Media Group.

Uma declaração comprometedora, supostamente escrita em nome do editor-chefe dos portais, foi publicada nas páginas falsificadas. Os crackers também adicionaram links para os dados roubados de usuários e funcionários da mídia. O pacote de dados continha as seguintes informações:

  • Nomes e sobrenomes
  • Endereços de e-mail
  • Senhas
  • Nomes de usuário
  • Números de telefone
  • Endereços físicos e IPs.

A autenticidade dos dados não foi confirmada, mas devido à sua grande quantidade (dados de aproximadamente 26 milhões de pessoas foram vazados), o pacote de dados apareceu rapidamente em um fórum de crackers e no serviço Have I Been Pwned.

Os representantes das empresas afetadas não se pronunciaram sobre o incidente.

Se não te pagam, roube os dados biométricos

O que aconteceu: ex-desenvolvedores terceirizados roubaram os dados de um empregador inescrupuloso para o qual trabalhavam.

Como aconteceu: No início de maio, o site Have I Been Outaboxed apareceu on-line. Seus desenvolvedores alegavam ser ex-desenvolvedores da empresa de TI Outabox, que não os pagava pelo trabalho realizado.

Para chamar a atenção para o problema, o grupo anônimo roubou mais de 1 milhão de registros (incluindo dados biométricos, digitalizações de carteiras de motorista, assinaturas pessoais, etc.) e criou o já mencionado Have I Been Outaboxed. Eles alegaram que não foi difícil porque a empresa não protegeu os dados, mantendo-os em uma planilha regular desprotegida.

O site existiu por um curto período de tempo e permitia que os visitantes descobrissem se seus dados estavam no banco de dados roubado da Outaboxed, inserindo seus nomes no site. Vale a pena observar que os dados pessoais, obtidos por câmeras inteligentes que a empresa tinha sob sua responsabilidade, de pessoas que visitavam bares e clubes em New South Wales, eram mantidos no banco de dados.

Os representantes da empresa informaram que "estão cientes de um site malicioso que contém várias declarações falsas destinadas a prejudicar nossos negócios e difamar nossa equipe sênior". As forças policiais australianas também estavam cientes do site. Eles anunciaram rapidamente a prisão de um homem de 46 anos, supostamente responsável pelo vazamento. Ele foi acusado de chantagem, embora o site fosse puramente de denúncia e os pedidos de resgate não tivessem sido publicados.

Somente entre você e eu? 

O que aconteceu: uma empresa de telemedicina pagará 7,8 milhões de dólares por transferência indevida de dados pessoais.

Como aconteceu: a Comissão Federal de Comércio dos EUA (FTC) conduziu uma investigação sobre o BetterHelp, um serviço on-line que oferece serviços de telemedicina: terapias on-line e aconselhamento psicológico. A investigação revelou que o serviço coletava dados dos usuários sem o consentimento deles. O conjunto de dados coletados ilicitamente incluía:

  • Endereços de e-mail
  • Endereços IP
  • Respostas a um questionário médico preliminar. 

Esta informação era compartilhada com Facebook, Snapchat, Criteo e Pinterest para publicidade contextual.

Foi realizado uma investigação criminal a esse respeito, cujo resultado foi o BetterHelp concordar em pagar a indenização às partes afetadas. Em breve, a empresa começará a enviar cartas a cerca de 800.000 usuários e, no total, pagará a eles US$ 7,8 milhões.

Patch de conflito

O que aconteceu: o Departamento de Educação de Helsinki foi invadido.

Como aconteceu: um invasor desconhecido obteve acesso à unidade de rede do departamento de educação após explorar uma vulnerabilidade no servidor de acesso remoto. Representantes do governo local observaram que um patch para corrigir a vulnerabilidade estava disponível, mas não havia sido baixada e instalada.

A unidade comprometida continhas dezenas de milhões de arquivos, incluindo dado pessoais e outros dados sensíveis, tais como:

  • Nomes de usuário
  • Endereços de e-mail
  • Identificações pessoais
  • Endereços físicos 
  • Salários
  • Informação e situação educativa dos filhos
  • Solicitações à Seguridade Social
  • Atestados médicos, etc.

Os representantes do governo local expressaram suas preocupações em relação ao incidente e afirmaram que foram tomadas as medidas necessárias para lidar com o mesmo. Eles também disseram que "a violação de dados afeta mais de 80.000 alunos e seus responsáveis".

Dica de Segurança da Informação do mês: não espere que um prestador de serviços inescrupuloso ou um funcionário que esteja planejando se demitir vaze os dados biométricos dos seus clientes! Analise a atividade do usuário em tempo real com a ajuda da solução DCAP e evite vazamentos com o DLP. Você pode solicitar uma avaliação gratuita de 30 dias das soluções.  

Solicite um teste


Fraude Dados pessoais Documentos confidenciais

Inscreva-se aqui para receber notícias, artigos e white papers.
© 2025 SearchInform LTD
All rights reserved.
Usamos cookies em nosso site para tornar nosso serviço mais eficiente e melhorar a sua experiência de usuário. Ao continuar a usar o nosso site, você concorda com a nossa política de cookies.
OK
POLÍTICAS DE USO DE COOKIES