Relatório de (in)segurança: Cracker-infiltrado, DeepSeek Vulnerável e Apple na Mira
12.03.2025
VoltarEm nosso relatório de (in)segurança de fevereiro, apresentamos uma seleção dos incidentes de segurança da informação mais impactantes e em grande escala.
Saiu sem dizer adeus
O que aconteceu: O Museu Britânico teve que fechar algumas exposições após um ataque perpetrado por um ex-empregado de uma empresa de TI terceirizada.
Como aconteceu: Em janeiro, a polícia de Londres recebeu uma denúncia de que alguém havia invadido o Museu Britânico e “causado danos aos seus sistemas de TI e segurança”. O invasor foi detido no local, conforme o The Guardian. O ataque foi realizado por um funcionário terceirizado que havia sido demitido recentemente. Ele desativou intencionalmente alguns sistemas, incluindo a plataforma de vendas de ingressos, o que deixou algumas exposições inacessíveis. Depois do incidente, um banner temporário foi colocado no site do museu informando que “o museu está aberto, mas devido a problemas na infraestrutura de TI, algumas galerias estão temporariamente indisponíveis”.
Essa não é a primeira vez que o Museu Britânico enfrenta problemas devido a ações de seus funcionários. Em 2023, o museu processou Peter John Higgs, curador das coleções gregas. Peter trabalhou lá quase 30 anos, mas em 2016 começou a vender peças do acervo do museu no eBay, incluindo jóias e pedras preciosas da Roma Antiga, totalizando dezenas de milhões de libras. Ele foi flagrado vendendo itens que estavam detalhadamente descritos nos catálogos digitais do museu. Mesmo usando um pseudônimo, sua conta do PayPal estava ligada a uma rede social onde ele postava com seu nome verdadeiro.
Culpados sem culpa
O que aconteceu: Cibercriminosos convenceram funcionários públicos a ajudar na invasão do Banco de Uganda.
Como aconteceu: Em novembro de 2024, cibercriminosos invadiram o Banco Central de Uganda e transferiram 62 bilhões de xelins ugandenses (equivalente a US$ 16,8 milhões) de suas contas. O ministro das Finanças de Uganda confirmou o incidente. Após o ataque, veículos de mídia africanos especularam que pessoas internas estivessem envolvidas no crime, e isso foi confirmado recentemente. Funcionários do Ministério das Finanças teriam, involuntariamente, auxiliado os criminosos a fazer pagamentos para as contas que precisavam. Entretanto, os parlamentares ugandenses não acreditam que os funcionários foram meras vítimas de manipulação, chamando suas ações de "claramente criminosas" e enviando as informações da investigação para as autoridades policiais para investigar a questão a fundo.
DeepLeak
O que aconteceu: A galera do DeepSeek deu uma bola fora de principiante.
Como aconteceu: Em 29 de janeiro, pesquisadores da Wiz Research anunciaram que descobriram uma base de dados da empresa DeepSeek exposta. A base continha, sem qualquer proteção, mais de um milhão de linhas de históricos de bate-papo de usuários, chaves de API, metadados de servidor e outras informações sensíveis. Os especialistas analisaram os domínios públicos da DeepSeek e encontraram cerca de 30 subdomínios acessíveis externamente, mas não acharam nada por dentro que representasse uma brecha (interface de chatbot, página de status do serviço e documentação da API). Eles então expandiram a busca e descobriram as portas 8123 e 9000 abertas em vários servidores. Essas portas estavam associadas ao SGBD de código aberto ClickHouse. Usando a interface HTTP do SGBD, os pesquisadores executaram a consulta SQL SHOW TABLES e visualizaram uma lista de tabelas disponíveis. Uma delas chamou atenção: log_stream. Essa tabela continha dados críticos, como registros de data e hora do log, nomes de pontos de extremidade da API, bate-papos de usuários em texto aberto, vários metadados e informações sobre os serviços do DeepSeek.
A Wiz Research entrou em contato com os desenvolvedores da rede neural e eles prontamente tomaram providências - agora a base de dados está inacessível na Internet. Porém, o incidente manchou a reputação do DeepSeek.
Tarde demais para pedir desculpas
O que aconteceu: A Apple exigiu que um informante se desculpasse pelos vazamentos.
Como aconteceu: Em março de 2024, a Apple processou seu ex-engenheiro Andrew Oda. Ele vazou informações para a mídia sobre a cultura corporativa da Apple, lançamentos programados de software e dispositivos. Segundo a gigante da tecnologia, o engenheiro conversou com jornalistas do Wall Street Journal (WSJ) e do Information através do mensageiro Signal usando um iPhone corporativo. Como resultado, os jornalistas publicaram regularmente artigos com informações direto da “cozinha” da Apple. Recentemente, a Apple e Oda chegaram a um acordo. Embora os termos não tenham sido divulgados, parece que um deles foi o pedido público de desculpas feito pelo ex-funcionário. Oda fez um post admitindo que, durante seus oito anos na Apple, teve acesso a várias informações confidenciais, incluindo dados internos sobre dispositivos e recursos ainda não lançados. Ele descreveu o vazamento como um erro profundo e caro que destruiu relacionamentos com colegas e causou danos irreparáveis à sua carreira.
Se tá funcionando, não mexa!
O que aconteceu: Elon Musk expôs um “grande esquema” de fraude do Seguro Social nos EUA. O Serviço Social não aceitou as alegações.
Como aconteceu: Em 17 de fevereiro, Elon Musk postou em sua rede social que as bases de dados de beneficiários de benefícios governamentais incluíam mais americanos do que a própria população do país. Entre eles, estavam 8 milhões com mais de 120 anos, mais de 500 mil com mais de 150 anos, e até mesmo pessoas com mais de 200-300 anos. Isso levanta suspeitas de que “almas mortas” tenham sido usadas para o cálculo fictício de benefícios sociais. Após a declaração de Musk, a mídia informou que os “longevos” regsitrados na base de dados da Administração do Seguro Social dos EUA (SSA) aparecem porque seu sistema de informações é desenvolvido em uma linguagem de programação antiga - COBOL. O COBOL usa como referência o dia 20 de maio de 1875. Ou seja, se não houver uma data de nascimento no cartão do beneficiário ou se ocorrer algum erro, o sistema automaticamente usa a data de 1875. Isso explica o grande número de pessoas com a mesma idade no banco de dados. A SSA também justificou os mistérios restantes com as peculiaridades de seus sistemas. Em 2015, o Escritório do Inspetor Geral fez uma auditoria na SSA e descobriu que o sistema de informações da agência deixava o campo “morte” em branco para 6,5 milhões de pessoas cuja idade superava a “expectativa de vida máxima razoável”, abrindo oportunidades para fraudes. Após a auditoria, a SSA concordou em implementar um mecanismo para interromper os pagamentos a pessoas com mais de 115 anos e considerar opções de automação para adicionar rapidamente dados à coluna “morte”. No entanto, após uma nova auditoria em 2023, ficou claro que o problema ainda persistia. O sistema de informações da SSA se tornara ainda mais impreciso: 18,9 milhões de pessoas nascidas em 1920 ou antes não tinham informações na coluna “morte”.
A SSA se recusou a abordar a questão dos dados incorretos por diversos motivos. Primeiro, porque a agência não considera a situação um problema: a maioria dos registros com informações incorretas de óbito pertence a pessoas que não recebem pagamentos, devido ao mecanismo implementado em 2015. Mas “corrigir registros de pessoas que não são beneficiárias desviaria recursos da administração e do gerenciamento de programas”. Em segundo lugar, a SSA concluiu que atualizar as informações de óbito com base nas recomendações do OIG “acarreta um risco significativo de introdução de informações incorretas”. A implementação exigiria recursos significativos e traria “benefícios limitados” (se houver) para a administração dos sistemas de informação, declarou a agência.
Fraudes financeiras estão por toda parte: funcionários alteram dados bancários e roubam a identidade de clientes ou colegas para sacar fundos corporativos para contas fictícias. Funcionários também podem cair na armadilha dos golpistas e transferir dinheiro da empresa. Um sistema DLP ajudará a lidar com essas ameaças: políticas de segurança prontas detectarão fraudes com ativos, e “listas negras” concentrarão o controle nas pessoas que têm acesso ao orçamento, evitando fraudes antes que a empresa sofra danos.