Relatório de (in) segurança: Moedas Shib roubadas, o vilão da Disney e o vazamento de dados de milhões de americanos
02.08.2024
VoltarCom o fim do segundo mês do verão no hemisfério norte, esperamos que você tenha tido algum tempo para relaxar ou esteja saindo de férias. Para dar um toque de emoção aos seus dias de trabalho, compartilhamos uma compilação de incidentes de SI desta temporada. Nesta edição: a última reviravolta na saga Snowflake, as aventuras do robots.txt e o caso do roubo de meme-coin
Showleak sequel
O que aconteceu: AT&T sofreu a maior violação de dados de sua história.
Como aconteceu: Os invasores acessaram o banco de dados da AT&T por meio da conta Snowflake da empresa. O banco de dados continha números de telefone e dados detalhados sobre 110 milhões de SMS e chamadas recebidas e efetuadas pelos clientes.
De acordo com Mandiant, o ataque foi causado pela segurança insuficiente da conta. Os invasores usaram infostealers para obter dados de login. Enquanto isso, as empresas clientes não estavam usando uma função MFA disponível.
Inicialmente, os invasores queriam receber US$ 1 milhão pela exclusão do banco de dados roubado, mas, no final, receberam US$ 370.000. Um dos supostos invasores foi detido. A busca por cúmplices continua.
A AT&T alega que, logo após a descoberta do vazamento, a empresa cooperou com especialistas em SI e notificou as autoridades competentes, incluindo o Departamento de Justiça dos EUA, o que permitiu que ela adiasse um anúncio público até recentemente devido aos possíveis riscos à segurança nacional.
Anteriormente, escrevemos sobre o hack do Snowflake, que afetou a TicketMaster. Os fóruns de hackers ainda estão vendendo dados roubados, inclusive ingressos para os próximos shows de músicos populares. Os clientes da Snowflake são, em sua maioria, as maiores empresas do mundo: AT&T e HP, portanto, seus dados também podem estar comprometidos.
Parece que sou famoso
O que aconteceu: Um fabricante de hardware de computador vazou acidentalmente dados de clientes.
Como aconteceu: No início de junho, o canal do YouTube Gamers Nexus lançou um vídeo intitulado "Zotac's Big Mistake" (O grande erro da Zotac), revelando que os dados privados da Zotac, como faturas, endereços, informações de contato do cliente e solicitações, foram indexados por mecanismos de pesquisa. Isso significa que as informações se tornaram publicamente acessíveis ao pesquisar termos como "Zotac RMA.”
Isso provavelmente ocorreu devido à configuração incorreta do arquivo robots.txt, que orienta os rastreadores da Web sobre o que deve ou não ser indexado.
O incidente foi descoberto inicialmente por um dos espectadores do Gamers Nexus. Ele encontrou seus dados pessoais on-line e relatou o fato à Zotac. A resposta a essa solicitação específica foi rápida, mas o problema mais amplo permaneceu sem solução. Apenas os dados do espectador afetado desapareceram do mecanismo de pesquisa.
Para chamar a atenção para o problema, o espectador em questão entrou em contato com o Gamers Nexus, e o canal compartilhou essa notícia. A Zotac só resolveu totalmente o problema e removeu os dados vazados depois que a situação atraiu atenção e críticas significativas dos parceiros de negócios nas mídias sociais.
O vilão de Schrödinger na Disney
O que aconteceu: Disney foi vítima de um ataque de hackers.
Como aconteceu: Em 12 de junho, uma publicação com mais de um terabyte de dados confidenciais da Disney apareceu em um fórum de hackers. O vazamento incluiu imagens, contas, códigos, materiais de marketing, informações sobre projetos futuros, correspondência de funcionários e dados relacionados à Disneyland Paris.
Os invasores alegaram que foram auxiliados por um agente interno que desistiu no último minuto. No entanto, com a ajuda de um agente interno ou não, os invasores conseguiram acessar informações do mensageiro corporativo Slack.
O grupo, que se autodenomina hacktivista, declarou que seu ataque à Disney foi direcionado. Eles alegaram que seus motivos eram "proteger os direitos dos atletas", "garantir uma compensação justa por seu trabalho" e abordar o tratamento dado pela empresa aos funcionários e consumidores. Atualmente, a Disney está investigando o incidente.
Roubo de criptografia
O que aconteceu: Invasores roubaram US$ 235 milhões da bolsa de criptomoedas indiana WazirX.
Como aconteceu: O incidente foi revelado em 18 de julho, quando a bolsa de criptomoedas o relatou o ocorrido em suas mídias sociais. Os hackers conseguiram comprometer uma carteira com várias assinaturas, que exige a aprovação de pelo menos dois signatários para autorizar transações. Havia seis signatários no total: cinco da WazirX e um da Liminal, uma empresa especializada em gerenciamento de ativos digitais e que fornece carteiras com várias assinaturas.
Os invasores exploraram uma discrepância entre as interfaces usadas pelas duas partes. De acordo com a WazirX, o ataque cibernético ocorreu devido a uma incompatibilidade entre os dados mostrados na interface do Liminal e os detalhes reais da transação.
No final, os invasores retiraram US$ 235 milhões em várias criptomoedas, incluindo SHIB, PEPE, Ethereum, Matic, USDT e Gala. Relatórios da mídia também indicam que os invasores estão usando a bolsa descentralizada Uniswap.
Em resposta ao incidente, a WazirX suspendeu as retiradas de criptomoedas e disse que está investigando ativamente o incidente, prometendo fornecer atualizações à medida que mais informações estiverem disponíveis.
Ganhamos e perdemos... dados confidenciais juntos
O que aconteceu: A Federação Internacional de Automobilismo (FIA) foi vítima de uma invasão.
Como aconteceu: Em 3 de julho foi publicada no site da FIA uma nota sobre um incidente de dados recente. O organizador da Fórmula 1 revelou que um ataque de phishing levou ao acesso não autorizado a duas contas de e-mail, comprometendo os dados pessoais contidos nelas.
A FIA não forneceu maiores detalhes sobre a violação, quais dados específicos foram expostos ou roubados, quando o ataque foi descoberto ou por quanto tempo os invasores tiveram acesso a seus sistemas.
No entanto, a organização destacou que tomou medidas de segurança adicionais para evitar ataques semelhantes no futuro e lamentou qualquer inconveniente causado às pessoas afetadas.
Uma equipe para matar e uma equipe para curar
O que aconteceu: A Rite Aid, a terceira maior rede de farmácias dos EUA, sofreu um ataque cibernético.
Como aconteceu: Em 12 de julho, a empresa informou à mídia que estava investigando o incidente de SI ocorrido em junho e começou a notificar as partes afetadas. A empresa contratou especialistas em segurança terceirizados para restaurar seus sistemas e auxiliar na investigação.
A Rite Aid não especificou quais dados foram comprometidos, mas garantiu que as informações financeiras e de saúde não foram afetadas pelo incidente.
Posteriormente, um grupo de invasores reivindicou a responsabilidade pelo incidente. Em seu site na darknet, os invasores relataram ter capturado 10 GB de informações com 45 milhões de linhas de dados, incluindo nomes, IDs, endereços, datas de nascimento e informações de um programa de recompensas.
De acordo com a mídia, esse grupo de invasores tem como alvo empresas que se recusam a pagar pedidos de resgate. Os dados roubados são então vendidos em seu site, geralmente em um formato de leilão.
Não há MFA seguro o suficiente para me impedir de chegar até você
O que aconteceu: Os dados dos usuários do serviço de autenticação multifator Twilio Authy foram vazados.
Como aconteceu: Atacantes desconhecidos exploraram uma vulnerabilidade no sistema para obter números de telefone de usuários, status de contas e informações sobre dispositivos conectados. Esses dados roubados foram então listados para venda em um fórum de hackers.
Durante o ataque, a API de endpoint desprotegido foi explorada. Os invasores inseriram uma grande quantidade de números de telefone nele. Se um número fosse válido, o endpoint retornava informações sobre as contas associadas.
A Twilio resolveu o problema rapidamente, fechando o endpoint vulnerável e bloqueando solicitações não autorizadas. A empresa também publicou um artigo em seu blog aconselhando os usuários a atualizarem seu software para aumentar a segurança.
Estrelas da briga cibernética
O que aconteceu: Dados dos participantes da conferência de desenvolvedores do Roblox foram revelados.
Como aconteceu: No início de junho, a empresa começou a enviar mensagens alertando sobre um vazamento de dados, que afetou os participantes das conferências de desenvolvedores do Roblox de 2022, 2023 e 2024.
Um dos parceiros da Roblox responsável pelo registro de usuários foi invadido.
Roblox afirmou que um dos fornecedores notificou a empresa de que seu site tinha acesso não autorizado às informações do usuário Roblox da lista de participantes da Conferência de Desenvolvedores 2022-2024.
Os dados roubados incluíam nomes completos, endereços de e-mail e endereços IP. De acordo com o Have I Been Pwned, 63% dos e-mails eram novos e não haviam sido envolvidos em vazamentos anteriores. A Roblox tomou medidas para evitar futuros incidentes.
Dica de Segurança da Informação do mês: O verão é tradicionalmente uma temporada de férias, mas não para os criminosos cibernéticos e os infiltrados. Esses " Workaholics" ficam ansiosos para aproveitar a ausência dos colegas ou a correria das férias dos especialistas em segurança da informação. O sistema DCAP pode ajudá-lo a neutralizar esses "trabalhadores” incansáveis e reduzir os riscos de SI. Experimente-o gratuitamente por 30 dias neste link!