Relatório de (in)segurança: Ex maléficos, Caçador de bugs malicioso da Microsoft, Invasão do 4chan
20.05.2025
VoltarÉ hora de compartilhar os incidentes de segurança que chamaram nossa atenção no mês passado. Nesta visão geral: um hacker de chapéu branco confessa ao ChatGPT, o funcionário do MrBeast filma seu próprio reality show, contratados roubam ingressos de fãs da Taylor Swift e outros incidentes.
Sem mim, tudo vai desmoronar
O que aconteceu: um desenvolvedor vingativo deixou uma "surpresa" nos sistemas de TI de seu empregador antes de sair.
Como aconteceu: Davis Lu trabalhou como desenvolvedor de software por mais de uma década em uma empresa de tecnologia sediada em Beachwood. No entanto, em 2018, durante uma reestruturação da empresa, Davis foi rebaixado. Ele percebeu que poderia ser demitido a qualquer momento, então começou a preparar um plano de vingança com antecedência.
Quando Davis foi oficialmente demitido em 2019, seu plano já estava em andamento: ele injetou um código malicioso nos sistemas da empresa de TI que causava erros no sistema e impedia os usuários de fazerem login. Davis também excluiu os perfis de seus colegas e instalou um “kill switch” que foi ativado quando os dados de Davis foram excluídos do controlador de domínio corporativo, bloqueando as contas de seus colegas.
Uma investigação mais tarde revelou que o ex-funcionário estava pesquisando no Google como elevar seus privilégios no sistema e ocultar vestígios de exclusões de arquivos. Como resultado das ações de Lu, milhares de usuários e funcionários da empresa em todo o mundo não conseguiram acessar os sistemas.
O dano não foi divulgado, mas pode ter chegado a centenas de milhares de dólares. O tribunal considerou Davis Lu culpado de crimes informáticos, e agora ele pode pegar até 10 anos de prisão.
Tudo o que é secreto se torna claro
O que aconteceu: a Oracle sofreu dois vazamentos de dados seguidos e tentou encobri-los.
Como aconteceu: o primeiro vazamento foi relatado em 20 de março, quando um cibercriminoso com o apelido de rose87168 anunciou que o serviço de nuvem da Oracle havia sido invadido. Um intruso desconhecido colocou 6 milhões de linhas de dados de clientes à venda: chaves privadas, credenciais criptografadas, etc. Como prova, o cibercriminoso enviou um arquivo de texto com seu endereço de e-mail para o servidor da Oracle.
A Oracle inicialmente negou o incidente, mas em 21 de março, a empresa de segurança CloudSEK conduziu sua própria investigação e confirmou o vazamento. De acordo com eles, isso ocorreu devido ao software obsoleto Oracle Fusion Middleware, que não é atualizado desde 2014.
A Oracle então informou alguns clientes sobre o vazamento de dados desatualizados de um servidor desatualizado. No entanto, o cibercriminoso não permitiu que a Oracle minimizasse o incidente e forneceu à mídia amostras de dados bastante “frescos” – de 2024 e 2025.
Informações sobre o segundo vazamento apareceram em 28 de março. Então, descobriu-se que em fevereiro de 2025, um invasor desconhecido roubou dados médicos de clientes da Oracle Health usando contas de clientes comprometidas.
A empresa agiu da mesma maneira "aberta" que fez com a Oracle Cloud: não notificou oficialmente os reguladores ou o público sobre o incidente, apenas entrou em contato com algumas das vítimas. Os cibercriminosos adotaram uma abordagem muito mais radical e começaram a extorquir milhões de dólares dos clientes da Oracle Health em massa para não divulgar as informações roubadas.
A tentativa de esconder o elefante na sala levou a um processo. A Oracle é acusada de encobrir violações de dados e de não implementar práticas padrão de segurança de dados.
Tendência atual: reality show de separação
O que aconteceu: um ex-funcionário roubou as credenciais do MrBeast, o youtuber americano Jimmy Donaldson, e parece ter instalado câmeras escondidas em seu escritório.
Como aconteceu: em 2023, Leroy Nabors conseguiu um emprego como contratado de TI na Beast Industries, uma empresa de propriedade do YouTuber Jimmy Donaldson. Ele foi então promovido para a equipe de desenvolvimento da empresa, onde trabalhou até sua demissão em outubro desse ano.
Depois que Nabors saiu, descobriu-se que ele havia movido centenas de arquivos corporativos contendo informações financeiras para um dispositivo não identificado e um DropBox pessoal. Donaldson pediu ao ex-funcionário que excluísse os dados, mas Nabors disse que já havia feito isso em seu último dia de trabalho.
Para chegar à verdade e conseguir o que queria, MrBeast foi ao tribunal. Os documentos do tribunal dizem que os registros no notebook de trabalho do funcionário confirmam a tentativa de roubo de dados e sua ocultação. Funcionários da empresa também disseram que Neighbours sabia sobre a rescisão iminente e, portanto, se preparou para o vazamento.
O que é digno de nota é que os documentos do tribunal não dizem nada sobre as multas e compensações usuais para esses casos, e a única exigência do blogueiro é excluir os dados roubados. Estamos aguardando o resultado da história nos Tendências do YouTube.
Os cibercriminosos sonham com a confissão?
O que aconteceu: O caçador de bugs da Microsoft acabou se revelando um criminoso - o analfabetismo cibernético o denunciou.
Como aconteceu: Em abril de 2025, a empresa de segurança da informação Outpost-24 publicou um grande artigo sobre o cibercriminoso EncryptHub. Nele, os especialistas afirmam que o criminoso cibernético que invadiu 618 empresas também é um caçador de bugs sob o apelido de SkorikARI com SkorikARI. De acordo com os investigadores, ele é um pesquisador que recebeu menção de honra do Centro de Resposta a Ameaças da Microsoft por encontrar duas vulnerabilidades de dia zero no Windows.
A conclusão de que o caçador de bugs está fazendo um jogo duplo no Outpost-24 foi feita devido aos bugs de segurança operacional do cibercriminoso. Por exemplo, ele misturou sua vida criminal e pessoal usando contas pessoais na infraestrutura para desenvolver e testar vírus. O invasor também ignorou as regras básicas de higiene cibernética: ele usou as mesmas senhas, ignorou a autenticação de dois fatores etc.
Esses erros expuseram elementos críticos da infraestrutura do criminoso, permitindo que os pesquisadores determinassem que a conta por meio da qual SkorikARI enviou informações à Microsoft pertencia ao EncryptHub.
O Outpost-24 também obteve acesso à correspondência do cibercriminoso com o ChatGPT. O invasor usou o chatbot para literalmente tudo: escrever códigos maliciosos, pesquisar vulnerabilidades, escrever textos e até mesmo conversar sobre assuntos profundamente pessoais. Por exemplo, ele pediu a uma IA que o ajudasse a descobrir se ele era um hacker descolado ou um talentoso pesquisador de segurança da informação do "lado da luz".
“Equipe” do crime cibernético vs. Taylor Swift
O que aconteceu: Funcionários de uma empresa terceirizada de TI "invadiram o sistema" e enriqueceram com ingressos para Taylor Swift.
Como aconteceu: Em 3 de março, a promotoria de Nova York prendeu Tyrone Rose e Shamar Simmons. Eles são acusados de roubar e revender mais de 1.000 ingressos no valor de US$ 635.000.
O esquema era simples. Rose trabalhava para uma empresa de TI que administrava a plataforma de compra de ingressos StubHub. Ele usou seu acesso para fazer login em uma parte privada da rede da plataforma que atribuía URLs a ingressos que já haviam sido vendidos.
Rose então copiava os URLs dos ingressos e os enviava para Simmons, que revendia os ingressos na StubHub a preços inflacionados. No total, Rose e Simmons roubaram mais de 900 ingressos somente de junho de 2022 a julho de 2023. Notavelmente, quase todos eles eram para a turnê de shows de Taylor Swift.
Se forem considerados culpados, cada um dos criminosos poderá pegar uma pena máxima de três a quinze anos de prisão.
Houve um motivo
O que aconteceu: Os concorrentes invadiram o fórum de imagens 4cha
Como aconteceu: Na noite de 14 de abril, o fórum web da 4chan foi invadido e suspenso. A responsabilidade pelo incidente foi reivindicada por membros de um fórum de imagens concorrente, o Soyjak.party.
Eles informaram que estavam dentro do 4chan há mais de um ano e publicaram capturas de tela dos painéis de administração e do código-fonte do site como prova. Os indivíduos desconhecidos também reviveram temporariamente a seção do fórum /qa/, anteriormente banida, e postaram a inscrição "U GOT HACKED XD" lá.
Mais tarde, os invasores compartilharam detalhes da invasão. De acordo com eles, algumas seções do 4chan suportavam o upload de arquivos PDF. Entretanto, o site não verificava se o usuário estava carregando um arquivo PDF e não outra coisa. Isso permitiu que o arquivo PostScript fosse carregado, o qual foi interpretado por uma versão desatualizada do Ghostscript com muitas vulnerabilidades, e que ganhasse espaço no fórum.
Para evitar que um infiltrado mal-intencionado exclua dados confidenciais, a organização precisa de ferramentas confiáveis de segurança da informação. Por exemplo, o SearchInform DLP Risk Monitor de última geração detecta e evita vazamentos de dados, sabotagem corporativa e outras ações perigosas de funcionários magoados e que estão em processo de rescisão contratual. O FileAuditor,o sistema DCAP da SearchInform, restaura documentos críticos do armazenamento caso o funcionário que se magoou e está de saída tenha decidido excluí-los antes de partir. E o incidente complexo será revelado pelo sistema SIEM do SearchInform. Por exemplo, ele compara o evento de login do sistema e as ações perigosas do funcionário e, em seguida, notifica o especialista em segurança da informação.