Relatório de (in) segurança: Vazamento da Netflix, golpistas do McDonald's, roedores vs tokens

17.09.2024

Voltar

Como é tradição, todo mês, compartilhamos com você os incidentes de segurança da informação mais notáveis. Em agosto, tivemos os seguintes eventos: um pesadelo para os fãs de League of Legends, o maior vazamento da história dos EUA e outra interrupção nos serviços da Microsoft.

Estreia prematura

O que aconteceu: Futuras novidades da Netflix vazaram on-line devido a um ataque à uma empresa contratada.

Como aconteceu:  Em 9 de agosto, episódios de anime e séries animadas da Netflix que ainda não haviam sido lançados começaram a aparecer nas redes sociais e em fóruns temáticos. Entre eles: Arcane, Terminator Zero, Dandadan, Ranma ½ e outros.

A Netflix foi rápida em responder ao vazamento, dizendo que "crackers atacaram um de nossos parceiros de pós-produção". Isso também é confirmado pela baixa qualidade dos vídeos "vazados" com marcas d'água "para uso profissional”.

A gigante da mídia tentou remover os dados vazados da rede e também publicou um novo trailer da história do novo produto de maior destaque - a segunda temporada do anime baseado no jogo League of Legends - Arcane, para acalmar o entusiastas. Mas isso não ajudou, pois milhões de fãs que aguardam a segunda temporada já viram os principais spoilers da trama.

Dirija seu sonho, mas não se esqueça da segurança da informação

O que aconteceu: A divisão norte-americana da Toyota foi vítima de um ataque cibernético.

Como aconteceu:  240 GB de dados da divisão da Toyota na Califórnia apareceram em um fórum de hackers em 16 de agosto. Entre as informações vazadas estavam dados de funcionários e clientes, documentos e bancos de dados internos, logins e senhas de contas de administrador em texto simples.

É importante notar que os invasores não estão vendendo os dados, mas distribuindo-os gratuitamente. Isso pode sugerir que o ataque foi um ato de "hacktivismo”.

A Toyota confirmou o vazamento e garantiu que o incidente foi limitado e que a empresa já iniciou uma investigação. No entanto, alguns dias após essa declaração, as contas de administrador que vazaram continuavam válidas e ainda estavam funcionando.

Para entrar depois do mordomo

O que aconteceu: Crackers causaram uma grande interrupção nos aplicativos bancários indianos.

Como aconteceu:  Os invasores atacaram a C-Edge Technologies, um importante provedor de serviços. Por causa disso, os aplicativos bancários móveis não funcionaram em quase toda a Índia em 1º de agosto.

O incidente foi investigado por especialistas da Juniper Networks. De acordo com eles, a C-Edge Technologies foi invadida por causa de um servidor Jenkins mal configurado. Esse é um sistema automatizado para testar e fornecer módulos de aplicativos móveis.

Os atacantes começaram enviando uma solicitação POST para o servidor na tentativa de executar um comando malicioso. Isso foi bem-sucedido, e os criminosos ganharam um ponto de apoio no servidor, acessaram outros sistemas da empresa e, em seguida, injetaram o ransomware.

Notavelmente, além de o Jenkins estar configurado incorretamente, uma de suas partes tratava incorretamente as solicitações POST e o próprio servidor não havia sido atualizado para a versão atual. Isso possibilitou a exploração da vulnerabilidade crítica CVE-2024-23897 (pontuação CVSS: 9,8/10) e a realização do ataque.

A fria vingança vinda da quente Itália

O que aconteceu: um ex-funcionário terceirizado atacou a plataforma de criptografia Holograph.

Como aconteceu:  O Holograph é um protocolo de tokenização omnichain que permite que os emissores de ativos criem tokens omnichain nativamente compostáveis. Crackers exploraram uma vulnerabilidade em seu sistema e usaram uma carteira proxy para gerar 1 bilhão de tokens Holograph - HLG.

O valor total dos tokens gerados foi de aproximadamente US$ 15 milhões. Devido a essa "criptoinflação", o valor dos tokens HLG caiu de US$ 0,014 para US$ 0,0029 em poucas horas.

Após o incidente, foi iniciada uma investigação internacional e os suspeitos foram presos no território da Itália. Seus nomes não foram revelados, mas descobriu-se que o organizador do ataque era um "ex-funcionário terceirizado insatisfeito", que entendia o funcionamento do protocolo Holograph.

PII Wars: Ataque dos clones

O que aconteceu: 2,7 bilhões de registros de dados de americanos foram expostos.

Como aconteceu:  Em 6 de agosto, um fórum de crackers compartilhou uma publicação com as informações pessoais de 2,7 bilhões de americanos. Ela continha nomes, números do seguro social, e-mails e possíveis pseudônimos das pessoas afetadas.

Os pesquisadores acreditam que a suposta fonte do vazamento é uma empresa chamada National Public Data. Ela coleta os dados pessoais dos cidadãos e, mediante o pagamento de uma taxa, fornece acesso a eles para verificações de antecedentes criminais e investigadores particulares.

De acordo com relatos da mídia, um dump com dados semelhantes já foi vendido no mesmo fórum de crackers na primavera deste ano. Naquela época, outro cracker alegou ter invadido o National Public Data e obtido os dados pessoais de cidadãos dos EUA, do Reino Unido e do Canadá.

Após o vazamento inicial, diferentes crackers publicaram cópias parciais do despejo de dados, cada cópia contendo um número diferente de registros e, em alguns casos, diferindo nos próprios dados. A versão mais recente e mais completa do dump de dados apareceu em 6 de agosto.

Até o momento, a autenticidade exata dos "clones" vazados não foi identificada. Mas descobriu-se que a National Public Data coletou dados de americanos sem seu consentimento de fontes não públicas. Como resultado, a empresa foi indiciada.

Seis meses juntos, já como uma família

O que aconteceu: A Kootenai Health, um importante provedor de serviços de saúde dos EUA, foi vítima de invasores.

Como aconteceu:  Os invasores se infiltraram na infraestrutura da empresa usando ransomware. Em seguida, criptografaram arquivos e vazaram informações de identificação pessoal de clientes e funcionários, incluindo: idade, informações do passaporte, número do seguro social, carteira de motorista e registros médicos.

De acordo com os pesquisadores, os invasores se infiltraram na empresa em fevereiro de 2024, mas o problema só foi descoberto em agosto de 2024. Cerca de 500.000 pessoas foram afetadas pelo vazamento.

O inesperado dia de folga da Microsoft

O que aconteceu: houve uma interrupção global dos serviços da Microsoft.

Como aconteceu:  Em 30 de julho, muitos serviços e aplicativos da Microsoft ficaram indisponíveis: Azure, Outlook, Minecraft, Entura e Microsoft Intune, etc. Isso causou a interrupção no funcionamento de muitas organizações: tribunais, serviços públicos, bancos e instalações médicas em todo o mundo!

A Microsoft declarou abertamente que a interrupção ocorreu devido a um ataque DDoS e que suas medidas de segurança apenas ampliaram a escala do ataque, em vez de atenuá-lo. Um grupo de hacktivistas até então desconhecido reivindicou a responsabilidade pela interrupção do serviço.

A empresa também disse que havia configurado o Azure Web Application Firewall, um meio de defesa contra esses ataques. Não está claro por que a gigante global de TI não instalou um firewall de aplicativo da Web antes.

Mais limpo do que puro

O que aconteceu: Criminosos apagaram remotamente os dados dos dispositivos de estudantes ao redor do mundo.

Como aconteceu:  Os invasores comprometeram o Mobile Guardian, um desenvolvedor de sistemas MDM para o setor educacional. Ele desenvolve software de plataforma cruzada para filtrar o tráfego, monitorar a atividade dos alunos e gerenciar dispositivos remotamente.

De acordo com a empresa, houve um ataque cibernético em 4 de agosto que deu acesso aos invasores à plataforma Mobile Guardian. Os recursos obtidos não foram usados para roubar dados, mas para excluí-los. Por exemplo, em Cingapura, foram excluídos dados de 13.000 dispositivos, o que resultou no cancelamento de um contrato com o Ministério da Educação do país.

A empresa, infelizmente, desistiu: após o ataque, ela desligou completamente seus servidores de gerenciamento, de modo que os usuários não podem fazer login no Mobile Guardian e os alunos estão impedidos de acessar seus dispositivos.

Ataque dos castores!

O que aconteceu: A infraestrutura de blockchain da Nexera foi atacada por crackers.

Como aconteceu:  Em 7 de agosto, invasores desconhecidos invadiram o sistema de gerenciamento de contratos inteligentes Fundrs usando o malware BeaverTail. Assim eles conseguiram roubar 47 milhões de tokens de infraestrutura Nexera - NXRA no valor de US$ 1,76 milhão.

Os invasores sacaram 15 milhões de tokens no valor de US$ 450.000, enquanto a equipe da Nexera conseguiu retirar os outros 32 milhões de circulação. Depois disso, a empresa suspendeu a negociação de seus tokens em bolsas descentralizadas e recomendou que outras plataformas fizessem o mesmo. No entanto, isso levou a uma queda de 86% no preço dos tokens.

Não estou gostando disso

O que aconteceu: Crackers roubaram quase US$ 700 mil de assinantes do McDonald's.

Como aconteceu:  um grupo de crackers invadiu a conta do McDonald's no Instagram e fez propaganda de um token de criptomoeda fraudulento. Ele tinha o mesmo nome de um dos mascotes da empresa, Grimace.

O anúncio fez seu trabalho, e a capitalização do token cresceu instantaneamente de alguns milhares para US$ 25 milhões. Depois disso, os fraudadores venderam seus tokens, ganhando assim cerca de US$ 700 mil na criptomoeda Solana (SOL). O valor do token em si caiu para US$ 65 mil.

No final, a empresa conseguiu recuperar sua conta, mas na descrição de seu perfil por algum tempo "pendurou" a gratidão dos crackers pelas criptomoedas recebidas. O McDonald's pediu desculpas aos assinantes pelo incidente.

Dados pessoais Documentos confidenciais