Páginas

agosto 25, 2022

[Segurança] Notícias recentes sobre a fragilidade do fator humano

Por uma triste coincidência, surgiram várias notícias recentes que mostram a fragilidade do fator humano na segurança da informação nas empresas:

24/06/2022 - Homem perde pen drive com dados de moradores de cidade inteira após sair para beber (CNN)

Um trabalhador de uma empresa encarregada de fornecer benefícios a famílias isentas de impostos perdeu um pen drive contendo os detalhes pessoais de todos os moradores da cidade de Amagasaki, no Japão. O homem foi ao centro de informações da prefeitura e transferiu os dados dos moradores para um pen drive, que perdeu após ter adormecido na rua depois de ingerir bebidas alcoólicas em um restaurante. Os dados incluíam nomes, datas de nascimento e endereços de 465.177 pessoas – toda a população da cidade, além de informações confidenciais que incluiram detalhes fiscais, nomes, números de contas bancárias das famílias que recebiam assistência pública. O pen drive é criptografado e nenhum vazamento de dados foi confirmado pelas autoridades. Embora o funcionário tenha sido autorizado a acessar os dados, ele não recebeu permissão para transferi-los para um dispositivo separado.

30/06/2022 - Gangue de hackers invadiu a fabricante de chips AMD do Vale do Silício por causa das terríveis senhas dos trabalhadores (em inglês) (SFGate)

O grupo de ransomware-como-serviço RansomHouse afirma ter sequestrado 450 GB de dados da AMD, uma das maiores fabricantes de semicondutores do mundo. O grupo afirma que o ataque foi possível graças ao uso de senhas fracas por parte de funcionários da empresa, como "password" e "123456".

03/07/2022 - Ex-funcionário da HackerOne chantageou sete clientes (CISO Advisor)

A HackerOne revelou ter descoberto que um funcionário, já demitido da empresa, havia acessado indevidamente os relatórios de de bug bounty da plataforma para ganho pessoal. Foi identificado, pela HackerOne, que sete clientes foram identificados por essa pessoa, que divulgou as informações de vulnerabilidade com o objetivo de reivindicar recompensas adicionais.

04/07/2022 - Ameaça interna: funcionários indiciados por roubar US$ 88 milhões em chaves de licença (em inglês) (Malwarebytes)

Um ex-funcionário da Avaya e dois cúmplices (incluindo um ex-revendedor da empresa), foram indiciados após terem supostamente desviado US$ 88 milhões em chaves de licença para softwares da companhia.

06/07/2022 - A cadeia de hotéis Marriott foi atingida por outra violação de dados (em inglês) (The Verge)

A cadeia de hotéis Marriott International confirmou que foi atingida por mais uma violação de dados que expôs informações de funcionários e clientes, cerca de 20 GB de dados roubados do hotel BWI Airport Marriott em Baltimore, Maryland, incluindo documentos comerciais confidenciais e informações de pagamento de clientes. Segundo a empresa, o atacante usou engenharia social para enganar um funcionário em um único hotel Marriott para fornecer acesso ao computador e obter os dados roubados.

10/07/2022 - Oferta de trabalho falsa está por trás do hack de US$ 600 milhões (CISO Advisor)

Segundo pesquisadores, uma falsa oferta de emprego no LinkedIn direcionado a um engenheiro sênior foi a razão por trás do ataque ao Axie Infinity, o popular game em blockchain que paga criptomoedas aos seus jogadores. Após fazer entrevista de emprego, a vítima recebeu mensagem com a oferta falsa, contendo um PDF que, uma vez aberto, descartou um malware que teria permitido o ataque e controle de quatro validadores da rede Ronin, causando o roubo de cerca de US$ 600 milhões.

28/07/2022 - Entrust/Datacard confirma incidente com roubo de dados (CISO Advisor)

A empresa Entrust, que fornece soluções de segurança para identidades, pagamentos e infraestrutura, sofreu uma violação de dados em Junho, fruto de um ataque pelo ransomware Lockbit, acrescentando que os invasores roubaram alguns arquivos. O atacante utilizou credenciais comprometidas da Entrust obtidas na dark web e as usou para acessar a rede da empresa.

A empresa de comunicações em nuvem Twilio divulgou que dados de seus clientes foram acessados por invasores que acessaram os sistemas internos depois de roubar credenciais de funcionários em um ataque de phishing por SMS. Segundo a empresa, foram acessados dados de 125 clientes.

25/08/2022 - Sistema de desenvolvimento do Lastpass invadido para roubar o código fonte (em inglês) (Bleeping Computer)

A empresa de gerenciamento de senhas LastPass foi invadida, permitindo o acesso ao ambiente de desenvolvimento e, assim, o roubo de código-fonte da empresa e informações técnicas proprietárias. O LastPass divulgou um comunicado confirmando o ataque, ocorrido graças a uma conta de desenvolvedor comprometida, e afirmando que não há evidências de que os dados de clientes ou os cofres de senhas criptografados tenham sido comprometidos.

25/08/2022 - Hackers que atacaram o Twilio atingem mais de 130 organizações em ataque maciço de phishing em nome da Okta (em inglês) (Bleeping Computer)

Os ciber criminosos responsáveis por uma série de ataques cibernéticos recentes, incluindo contra Twilio, MailChimp e Klaviyo, comprometeram mais de 130 organizações na mesma campanha de phishing. Essa campanha de phishing utilizou um kit batizado de '0ktapus', direcionado para roubar credenciais e MFA do sistema Okta, conseguindo obter 9.931 credenciais de login que foram utilizadas para acessar redes e sistemas corporativos por meio de VPNs e outros dispositivos de acesso remoto.


15/09/2022 - Uber investiga violação de seus sistemas de computador (em inglês) (The New York Times)

A Uber descobriu que sua rede de computadores foi invadida, levando a empresa a colocar vários de seus sistemas internos de comunicação e engenharia offline enquanto investigava a extensão do ciber ataque. A pessoa que assumiu publicamente a responsabilidade pelo ataque, possivelmente um integrante do grupo Lapsus$, enviou imagens de e-mail, armazenamento em nuvem e repositórios de código da empresa. Segundo relatos, a invasão aconteceu graças ao envio de uma mensagem de texto para um funcionário do Uber alegando ser um profissional de tecnologia da informação corporativa. Assim, o trabalhador foi persuadido a entregar uma senha que permitiu ao atacante ter acesso aos sistemas da Uber. Após comprometer a conta o funcionário, o hacker utilizou o aplicativo de mensagens Slack para enviar uma mensagem aos funcionários da empresa anunciando a invasão e acessou a conta da empresa no portal da HackerOne para anunciar publicamente a invasão, nos relatórios de vulnerabilidades existentes.



22/09/2022 - Polícia de SP prende diretor do Detran e apura suspeita de esquema irregular de emissão de CNHs (Estadão)

A Polícia Civil do Estado de São Paulo investiga um esquema fraudulento que pode ter desviado R$ 2,4 milhões do Departamento Estadual de Trânsito (Detran) paulista. Na Operação Gravame, um diretor do Detran foi preso, apontado como responsável por comandar os desvios. A suspeita é de que a rede irregular operava em mais 17 Estados, fazendo a transferência irregular de veículos e emitindo a Carteira Nacional de Habilitação (CNH) sem que o candidato fizesse provas e exames regulares. A fraude também incluía baixa de multas e débitos de veículos não pagos no sistema, e emissão de documentos de veículos novos sem recolhimento do imposto. Para realizar a fraude na emissão da CNH, eram usados dedos de silicone com a digital impressa do candidato a motorista.

28/09/2022 - Invasão a e-mail Microsoft 365 causou violação na American Airlines (em inglês) (Data Breach Today)

A American Airlines informou que o acesso não autorizado ao seu sistema de e-mail causou a violação de dados pessoais em julho, que afetou 1.708 pessoas. A investigação descobriu que o atacante conseguiu sincronizar as caixas de e-mail no ambiente Microsoft Office 365 da empresa de pelo menos um funcionário, a partir da qual enviou emails de phishing, além de acessar arquivos do funcionário no SharePoint.

30/09/2022 - FBI prende ex-funcionário da NSA por venda de informações confidenciais (Olhar Digital)

Um ex-funcionário da Agência de Segurança Nacional (NSA) do Colorado foi preso em flagrante pelo FBI acusado de vender informações confidenciais a um governo estrangeiro. O ex-funcionário foi preso por um agente do FBI disfarçado, que se passou por representante da nação estrangeira, que recebeu a oferta de três documentos considerados confidenciais.

10/10/2022 - Quase 300 mil informações de clientes da Toyota vazaram (TecMundo)

A Toyota confirmou a descoberta do vazamento de cerca de 296.019 informações de clientes do serviço T-Connect, que se inscreveram no portal desde julho de 2017. Os dados incluem endereços de e-mail e números dos usuários do serviço que conecta os veículos a uma rede. Segundo a montadora, acidentalmente um empreiteiro que desenvolveu o site do serviço T-Connect carregou partes do código-fonte com configurações públicas de dezembro de 2017 até 15 de setembro deste ano.

28/10/2022 - Como a senha "pizza123" pode derrubar uma organização (em inglês) (Bleeping Computer)

Ciber criminosos assumiram a responsabilidade por uma invasão recente da FastCompany, dizendo que exploraram uma senha padrão facilmente adivinhada, "pizza123". A revista de negócios reutilizou a senha fraca em uma dúzia de contas do WordPress, de acordo com os hackers, que descreveram o ataque em seu próprio artigo no FastCompany.com antes da publicação derrubar o site.

06/11/2022 - Golpe do PIX já atingiu pelo menos 11 cidades do Sudeste e causou prejuízos de mais R$ 10 milhões (Fantástico)

Uma quadrilha especializada em golpes digitais causou prejuízo a 11 prefeituras do interior de São Paulo e de Minas Gerais com o chamado Golpe do PIX e, segundo a polícia, as investigações mostram que os desvios ultrapassaram os R$ 10 milhões. Para aplicar os golpes, os bandidos usaram dados de um grande vazamento de informações que aconteceu no ano passado para entrar em contato com servidores que movimentavam as contas das prefeituras, fingindo ser funcionários do banco. O criminoso alegava que era preciso atualizar o cadastro e enviava um site falso, igual ao do banco, para capturar as senhas de acesso da prefeitura. Os criminosos cadastravam novas contas e transferiram valores para elas, que em seguida eram transferidos de novo para centenas de contas. As transferências feitas por PIX dificultaram o rastreamento do dinheiro.

07/11/2022 - Vazamento de dados na Aveanna Healthcare pode custar as empresa mais de 1 milhão de dólares (em inglês) (Data Breach Today)

Em fevereiro de 2020 a Aveanna Healthcare, um provedor de assistência domiciliar nos EUA, relatou um incidente de vazamento de dados ao Departamento de Saúde e Serviços Humanos, afetando 166.077 indivíduos, pacientes e funcionários. A empresa deverá pagar quase US$ 500.000 ao estado de Massachusetts para encerrar o litígio estadual e estabeleceu um acordo no tribunal distrital federal em uma ação coletiva para pagar até US$ 800.000 em pagamentos em dinheiro e proteções de monitoramento de crédito. O incidente aconteceu após uma série de 600 tentativas de phishing feitas durante o verão de 2019 que se tornaram mais sofisticadas ao longo do tempo. A certa altura, os funcionários da empresa receberam um e-mail que parecia vir do presidente da empresa pedindo sua participação em uma pesquisa. Mais de 50 funcionários sucumbiram ao ataque de phishing em dois meses. Os atacantes roubaram dados do paciente, incluindo números de seguro social, detalhes de pagamento, números de identificação de passaportes e carteiras de motorista, informações de diagnóstico e tipo de tratamento.

OBS (adicionado em 12/09/23): Essa notícia, de 2023, mostra um caso de grande impacto, de um incidente de ransomware iniciado quando um usuário caiu em um phishing:

  • 11/09/2023 - Ransomware Attack Wipes Out Four Months of Sri Lankan Government Data (em inglês) (Infosecurity Magazine)
    Um ataque massivo de ransomware afetou o sistema de nuvem governamental do Sri Lanka, Lanka Government Cloud (LGC) confirmado em 11 de setembro de 2023. O ataque provavelmente começou em 26 de agosto de 2023, quando um usuário do domínio gov.lk disse ter recebido links suspeitos nas últimas semanas e que alguém pode ter clicado em um. Os serviços LGC e os sistemas de backup foram rapidamente criptografados. Todos os 5.000 endereços de e-mail que usam o domínio de e-mail “gov.lk”, incluindo aqueles usados pelo Gabinete do Governo, foram afetados. O sistema e o backup foram restaurados 12 horas após o ataque, mas como o sistema não tinha nenhum backup disponível para os dados de 17 de maio a 26 de agosto de 2023, todas as contas afetadas perderam permanentemente os dados desse período.

Olha o "outro lado da moeda", do uso de ferramentas para não apenas proteger, mas também monitorar os usuários :(
Aproveita e também dê uma olhada nesses dados recentes:

OBS: Post atualizado em 27/08 para incluir, entre outras, a notícia do ataque a Lastpass, ocorrido graças ao uso de uma senha de funcionário. Atualizado em 11, 14 e 21/10 e novamente em 07 e 09/11 e em 12/12.

Um comentário:

  1. Daria para incluir o incidente com a Cisco, que iniciou por um phishing numa conta do Google de um funcionário.
    https://www.forbes.com/sites/daveywinder/2022/08/13/cisco-hacked-ransomware-gang-claims-it-has-28gb-of-data/

    ResponderExcluir