Relatório de (in)segurança: Se houvesse um Prêmio Darwin para Segurança da Informação
08.04.2025
VoltarEm nosso boletim de abril, destacamos os incidentes de segurança da informação mais engraçados e ridículos do último mês: Brad Pitt arruína a felicidade da família, um insider mal-intencionado escapa da polícia irlandesa e a Disney conta a verdade tardiamente.
Isca para toupeiras
O que aconteceu: A Rippling, startup de RH, “pegou” um infiltrado malicioso mordendo a isca.
Como aconteceu: A startup Rippling enfrentou a caça ilegal de funcionários por parte de sua concorrente, a Deel. As ofertas de emprego eram recebidas em chats de mensagens privadas, de modo que a gerência suspeitava que a empresa tinha um infiltrado vazando informações para os concorrentes.
A empresa também começou repentinamente a receber perguntas da mídia sobre a Rippling estar contornando as restrições do governo ao trabalhar com determinados clientes. Para confirmar suas suspeitas, os jornalistas citaram mensagens do Slack corporativo, onde os funcionários da Rippling discutiram esse tópico.
A empresa conduziu uma investigação interna e identificou um possível infiltrado: ele trabalhava no mesmo departamento que aqueles que foram contatados pelos recrutadores do concorrente. Os registros de monitoramento também mostraram que o funcionário visualizava regularmente canais do Slack não relacionados às suas responsabilidades profissionais e procurava diariamente por mensagens e arquivos com a palavra “Deel”.
A Rippling decidiu pegar a “toupeira” com uma isca. Eles criaram um canal armadilha “#d- defectors” no Slack corporativo, no qual supostamente discutiam como irritar o concorrente. Em seguida, escreveram diretamente para Deel informando que esse canal existia. O resultado não demorou a chegar. O infiltrado encontrou e estudou cuidadosamente o canal. Isso permaneceu nos registros. A Rippling chamou isso de “evidência irrefutável” de que o infiltrado estava trabalhando para um concorrente.
Imediatamente após isso, a empresa solicitou às autoridades irlandesas um mandado para prender o espião e verificar seu telefone. Ele não concordou com isso, então mentiu para os policiais que foram ao escritório. Ele disse que o telefone estava em sua bolsa, mas ele mesmo correu para o banheiro e tentou afogar o smartphone no vaso sanitário. Disseram-lhe que tais ações eram ilegais, mas o funcionário respondeu corajosamente que estava “pronto para correr esse risco”. Depois disso, o funcionário saiu correndo do escritório e desapareceu.
A Rippling descreveu todos esses detalhes em seu processo contra a Deel. Ela também menciona que a empresa encontrou outras evidências de culpa. Por exemplo, a “toupeira” vazou informações não apenas do mensageiro corporativo, mas também da nuvem, do banco de dados do CRM e do diretório interno de funcionários.
Comentário do SearchInform: Talvez seja tudo uma questão de prática de aplicação da lei na Irlanda. Ou talvez o infiltrado tenha sido pego inicialmente apenas por um interesse suspeito em dados que não lhe diziam respeito, e não havia nenhuma evidência real de sua comunicação com o concorrente. Presume-se que a empresa não tinha DLP, caso contrário, isso teria facilitado as coisas: teria detectado a atividade em chats e armazenamentos e a comunicação com o concorrente, mesmo que o funcionário tivesse excluído as mensagens. E não haveria necessidade de classificar manualmente os registros.
Não é um incidente de fadas
O que aconteceu: A vida de um funcionário da Disney foi virada de cabeça para baixo por uma ferramenta de IA gratuita.
Como aconteceu: Já informamos anteriormente sobre o vazamento de dados da Disney no verão de 2024. Lembre-se de que mais de um terabyte de mensagens e arquivos confidenciais do Slack corporativo foram vazados. Hacktivistas do NullBulge reivindicaram a responsabilidade pelo incidente. Eles disseram que um funcionário da empresa estava envolvido no ataque. Após o incidente, a Disney desistiu do Slack, mas a história continuou.
Descobriu-se que o informante era Matthew van Andel. Ele baixou um software gerador de imagens gratuito infectado com o malware em seu computador pessoal e, graças a isso, uma pessoa desconhecida obteve acesso ao gerenciador de senhas de Matthew e, em seguida, à sua conta corporativa do Slack.
O agressor decidiu intimidar a vítima e escreveu para ela no Discord: “Eu obtive acesso a informações confidenciais relacionadas à sua vida pessoal e profissional”. Como prova, o desconhecido enviou ao funcionário da Disney seus dados pessoais e informações que ele havia discutido em um canal fechado do Slack com colegas. No dia seguinte, Matthew entrou em contato com a polícia, e uma publicação com informações confidenciais da Disney apareceu na darknet.
O funcionário então relatou a invasão ao departamento de segurança da Disney e acabou percebendo que a invasão havia ocorrido por meio de seu computador doméstico. Algumas semanas depois, Matthew foi demitido por supostamente ter visto conteúdo para maiores de 18 anos. O funcionário não admite a culpa e vai processar a Disney.
Comentário do SearchInform: Não é à toa que se diz: não existe almoço grátis. O incidente destaca uma tendência em que a infraestrutura corporativa é invadida por meio de dispositivos pessoais. Houve uma onda de incidentes desse tipo em 2020, quando os funcionários foram transferidos em massa para o trabalho remoto. O Slack foi provavelmente o único que ficou perplexo. O mensageiro simplesmente perdeu um grande cliente devido a uma coincidência.
Sr. e Sra. Pitt
O que aconteceu: Um fraudador fingiu ser Brad Pitt usando redes neurais e enganou uma mulher em 800.000 euros.
Como aconteceu: Em 2023, quando Anna, de 53 anos, se registrou pela primeira vez nas mídias sociais, ela recebeu uma mensagem de uma mulher que se apresentou como a mãe de Brad Pitt. Ela disse que seu filho “precisa exatamente desse tipo de parceiro para a vida”. Em seguida, o próprio Pitt apareceu, mas a mulher não acreditou totalmente que estava se comunicando com o ator. Anna foi convencida pelas fotos geradas pelas redes neurais, bem como pela bolsa e joias que o “astro” lhe enviou. Vale ressaltar que as fotos geradas eram de baixa qualidade, e ela teve que pagar mais de 5.000 euros pelo “desembaraço alfandegário” dos presentes.
Depois disso, o falso Pitt propôs a Anna que se casasse com ele, ao que a mulher concordou e se divorciou de seu marido milionário. Após o divórcio, Anna recebeu 800.000 euros, que deu ao fraudador. O falso Pitt supostamente precisou de uma operação, e todas as suas contas (que pena) foram bloqueadas devido ao processo de divórcio com Angelina Jolie.
Anna suspeitou que algo estava errado somente quando viu fotos do verdadeiro Brad Pitt com sua nova namorada. O golpista refutou isso enviando à mulher um vídeo falso gerado por uma rede neural. Nele, um jornalista diz que o ator está realmente namorando Anna. Somente quando a mídia publicou novamente as fotos do não mais solteiro Pitt, a francesa percebeu que estava sendo enganada e registrou um boletim de ocorrência.
Comentário do SearchInform: Os deepfakes continuam a ganhar força. Eles se tornaram uma ameaça não apenas para a segurança pessoal, mas também para a segurança corporativa. Por exemplo, ataques de chefes falsos estão ativamente em andamento, quando os invasores forjam as identidades dos chefes e escrevem para seus subordinados em redes sociais e mensageiros. Os deepfakes são frequentemente usados para “confirmar” a identidade.
Não viu nada
O que aconteceu: Um especialista em TI obteve acidentalmente acesso a documentos confidenciais.
Como aconteceu: O The Register contou a história de Tom, especialista em TI. No início da década de 1980, ele trabalhou no suporte técnico da Força Aérea de um país desconhecido. A infraestrutura que ele estava atendendo incluía PCs com Windows e CP/M. Os arquivos do Windows não abriam no CP/M e vice-versa. O problema foi resolvido com o uso do programa Formats, que convertia os arquivos em um formato compreensível por ambos os sistemas operacionais.
Para controlar os computadores naquela época, era necessário digitar todos os comandos no teclado. Inclusive escrever manualmente o nome do programa que você queria executar. Se você acidentalmente digitar o comando Format em vez do nome do programa Formats, os dados da unidade serão excluídos. Foi isso que aconteceu com um oficial, que ordenou que Tom restaurasse os dados.
O especialista em TI concluiu a tarefa e decidiu verificar se os arquivos foram abertos corretamente. Tudo funcionou, mas dentro deles havia informações militares confidenciais às quais Tom não deveria ter acesso. O funcionário manteve silêncio sobre o fato porque isso poderia levar a uma corte marcial.
Comentário do SearchInform: A moral da história é interessante. Em primeiro lugar, os problemas com UX/UI parecem ter começado antes mesmo do surgimento dessas abreviações. Em segundo lugar, é difícil até mesmo imaginar quantos segredos ao longo da história foram “vistos acidentalmente”, “ouvidos por acaso na sala de fumantes” e depois mantidos em silêncio. No entanto, alguns erros são rapidamente revelados, como o recente convite “acidental” a um jornalista para uma sala de bate-papo secreta do governo dos EUA.
Phishing no Hunter
O que aconteceu: O especialista em segurança da informação e proprietário da HaveIBeenPwned, Troy Hunt, foi vítima de phishing.
Como aconteceu: Hunt relatou isso em seu site oficial. O especialista disse que recebeu uma carta de phishing muito convincente do serviço de distribuição de e-mail MailChimp. Ela avisava que, devido a reclamações de spam, Hunt não poderia mais enviar e-mails. Para retomar o envio, Hunt teve que acessar sua conta pessoal por meio do link e verificar as campanhas de e-mail.
Cansado após o voo (o especialista em segurança da informação estava verificando seu e-mail às 6h59 da manhã), Hunt fez isso e, em seguida, a página “congelou”. Ele percebeu imediatamente o que estava acontecendo e entrou em sua conta pelo site oficial, mas já era tarde demais. Atacantes desconhecidos haviam exportado uma lista de mala direta com 16.000 endereços de e-mail. Mais de 7.500 deles pertenciam a usuários que já haviam cancelado a assinatura da lista de e-mails.
Cansado após o voo (o especialista em segurança da informação estava verificando seu e-mail às 6h59 da manhã), Hunt fez isso e, em seguida, a página “congelou”. Ele percebeu imediatamente o que estava acontecendo e entrou em sua conta pelo site oficial, mas já era tarde demais. Atacantes desconhecidos haviam exportado uma lista de mala direta com 16.000 endereços de e-mail. Mais de 7.500 deles pertenciam a usuários que já haviam cancelado a assinatura da lista de e-mails.
Hunt pediu desculpas aos assinantes do boletim informativo e disse que todos os assinantes ativos seriam notificados sobre o incidente. Ele também expressou preocupação com o fato de o MailChimp reter os dados dos usuários mesmo depois que eles cancelam a assinatura.
Hunt também considerou a situação irônica. No momento do ataque, ele estava em Londres, onde discutia a promoção da tecnologia passkeys, que é resistente a phishing, com representantes do Centro Nacional de Segurança Cibernética do Reino Unido.
Comentário do SearchInform: Até mesmo o melhor dos caçadores pode cometer erros. É importante entender que não existe segurança absoluta. Talvez devêssemos aceitar isso: o elo mais vulnerável em qualquer sistema é uma pessoa, mas todos somos humanos e todos cometemos erros. Outra coisa é que esse não é um motivo para desistir e não se defender. O principal é continuar trabalhando.
Erros de funcionários que parecem engraçados à primeira vista representam um perigo para os sistemas de segurança da informação. Um conjunto de soluções da SearchInform capacita as organizações a reduzir o impacto do fator humano na segurança dos dados: o FileAuditor do sistema DCAP evita a violação dos direitos de acesso e ajuda a aumentar o nível de alfabetização cibernética dos funcionários; o Risk Monitor controla os canais de transmissão de dados e evita vazamentos de dados; o SIEM detecta sinais de que os funcionários estão sendo manipulados por intrusos externos. Você pode experimentar a funcionalidade das soluções e criar uma proteção abrangente gratuitamente por 30 dias!