Documentos
vazados na quarta-feira (06) indicam dados pessoais de 40 mil clientes da
empresa de capital aberto Taurus Armas, do Rio Grande do Sul. Os dados vazados são sensíveis e incluem
informações como nome completo, número telefônico de contato, email, endereço
completo, CEP e CPF ou CPNJ.
A Taurus é uma empresa nacional
conhecida por fabricar armas de fogo e exportar seus produtos para mais de 70
países. A companhia tomou as manchetes por suas ações de mercado no começo de
2019, que alavancaram após a eleição do governo Jair Bolsonaro — contudo, as
ações despencaram até 22% após decreto de flexibilização assinado pelo atual
presidente.
O TecMundo recebeu os arquivos via
email de uma fonte anônima. Em resposta, a fonte comentou que realizou a
extração dos dados ao alterar o ID do usuário na URL. Esse tipo de ataque é
conhecido como “improper access control” (CWE-284),
uma vulnerabilidade que permite aos invasores comprometer a segurança de
domínios ou softwares ao obter prilégios ou executar comandos.
"A Taurus
derrubou a página e contatou as autoridades policiais para uma investigação"
“Além de
conseguir alterar o ID do usuário, eu fiz uma ferramenta para baixar os dados
de todos os usuários”, finalizou a fonte que não respondeu todas as perguntas
enviadas.
Dados
censurados
CWE-284
O que
diz a vulnerabilidade CWE-284: “Quando qualquer mecanismo não é aplicado ou
falha, os invasores podem comprometer a segurança do software obtendo
privilégios, lendo informações confidenciais, executando comandos, evitando a
detecção etc”.
A
Taurus, desde que foi contatada pelo TecMundo,
abriu uma investigação e se mostrou preocupada com o caso. Hoje (14), nos
enviou uma nota sobre o caso:
"Esta
página que foi acessada indevidamente continha um cadastro de pessoas
associadas apenas à consulta de peças. Esse cadastro não continha quaisquer
dados financeiros e tampouco dados sobre aquisição de produtos da companhia.
Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre,
para uso interno da companhia.
A
companhia, tão logo soube desse acesso indevido, tomou imediatamente as
seguintes providências: tirou imediatamente a página do ar; iniciou
investigação interna; comunicou a autoridade policial responsável por crimes
informáticos fornecendo todas as informações necessárias para subsidiar a
investigação que já está em curso; está contratando uma empresa especializada
para fazer uma auditoria completa; e iniciou o desenvolvimento de uma nova
aplicação para consulta de peças, com criptografia da conexão e outras
melhorias para evitar acessos indevidos".
Dados
censurados
Vazamento e hackativismo
Junto com os arquivos, o invasor
ainda enviou uma nota explicando os motivos da invasão: “É contra a indústria
de armas. Ela fabrica armas de péssima qualidade, que vivem travando,
disparando acidentalmente. Muitos policiais já tiveram que aposentar por causa
da porcaria da arma deles. Mas, principalmente, contra o decreto do Bolsonaro”.
"Spear phishing: o principal problema de dados pessoais vazados"
Para um cibercriminoso com um
conhecimento considerável, as informações obtidas pela extração na Taurus Armas
podem ser utilizadas para diversos ataques. Ou seja: não é necessário ter o
número da conta corrente e senha para praticar algum golpe.
Um deles é a engenharia social.
De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia
social permite "desde a abertura de contas bancárias para obtenção de
crédito a tentativa de recuperação de credenciais de acessos a serviços on-line
da vítima, são muitos os cenários de risco envolvendo o uso de informações como
essas e técnicas de engenharia social".
Além disso, com as informações
pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha
de phishing customizada (spear phishing) para invadir algum dispositivo ou até
roubar mais credenciais sensíveis por meio desses ataques. Os cenários ainda
podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
Dados
censurados
Como fazer denúncias ao TecMundo
- Nossos canais são:
- denuncia@tecmundo.com.br ou felipepayao@protonmail.com
Fonte: https://www.tecmundo.com.br
Nenhum comentário:
Postar um comentário