[RETROSPECTIVA 2021] Vazamentos de dados que marcaram o ano

Há alguns anos, vazamentos de dados têm se tornado frequentes nos noticiários. Entretanto, para quase toda a população brasileira (incluindo os já falecidos), 2021 ficará marcado como o ano “pior da história” em termos de quantidade, qualidade e variedade de dados vazados: CPF, endereço, telefone, e-mail, dados de escolaridade, score de crédito, salário, renda, de mais de 220 milhões brasileiros foram encontrados pelos pesquisadores do laboratório de pesquisa de segurança da PSafe e divulgados em 19 de janeiro.

Apesar de não ter sido completamente esclarecida como ocorreu e qual a origem do banco de dados, a natureza dos dados sugere ter vindo da subsidiária brasileira da agência de crédito Experian. A Senacon (Secretaria Nacional do Consumidor) e o Procon-SP notificaram a Serasa por possível envolvimento, apesar da empresa negar ser a fonte dos dados. A Autoridade Nacional de Proteção de Dados (ANPD) disse “apurar tecnicamente as informações sobre o incidente de segurança e que atuará de de forma diligente em relação a eventuais violações à Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), e promoverá, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”. O tema voltou a ser discutido no último dia 15, em audiência pública no Senado.

Apesar do caso ainda estar pendente de informações, as causas das maiores violações de dados de 2021 parecem sugerir mudanças nos vetores de ameaças. Até o fim de 2020, erros humanos e ataques baseados em credenciais foram causas mais predominantes, enquanto que neste, ransomwares, vulnerabilidades de terceiros e falhas de segurança não detectadas têm sido mais proeminentes entre as ocorrências registradas.

Microsoft e o programa Exchange

Como foi o caso das 30 mil organizações expostas – incluindo governos locais, agências governamentais e empresas – na brecha da Microsoft, reportada pela empresa americana de software em 2 de março. O alvo da Hafnium, grupo responsabilizado pelo ciberataque, foram as centenas e milhares de servidores locais que executam o programa Exchange. Com a combinação de senhas e vulnerabilidades não detectadas anteriormente, o grupo criou um web shell em torno desses servidores permitindo acesso aos dados de e-mail.

This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\inetpubwwwrootaspnet_clientsystem_web. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm

— Chris Krebs (@C_C_Krebs) March 5, 2021

Facebook foi avisado sobre riscos e minimizou violação de dados de meio bilhão de usuários

Praticamente um mês depois, foi a vez da rede social bilionária de Zuckerberg, o Facebook, expor dados de parte dos seus bilhões de usuários. De acordo com o Insider, mais de 533 milhões foram afetados, sendo eles de 106 países diferentes, a maioria dos EUA, Reino Unido e Índia. O banco de dados com números de telefone, IDs do Facebook, nomes, aniversários e até mesmo alguns endereços de e-mail foram encontradas em um fórum de hacking.

A empresa foi advertida por um grupo de especialistas ao menos duas vezes sobre a falha no mecanismo de importação de números da agenda telefônica, o qual permitia encontrar contatos no Facebook e, consequentemente, também ser usada como ferramenta de coleta de informações. Para acessar às contas reais, bastava o invasor fazer uso de sequências hipotéticas.

O Facebook respondeu com tranquilidade sobre o número alarmante de dados vazados e os métodos de raspagem de dados a partir dos seus servidores. “Estes são dados antigos que foram relatados anteriormente em 2019. Encontramos e corrigimos esta questão em agosto de 2019”, disse um porta-voz do Facebook na época.

Apesar da companhia ter tomado conhecimento sobre a vulnerabilidade há três anos, os detalhes sobre a violação só foram abordadas em abril de 2021. À época, o Facebook disse não planejar alertar os usuários cujos dados poderiam ter sido incluídos no vazamento, já que a empresa não estava confiante sobre quais usuários haviam sido afetados e porque notificá-los não consertaria o fato de que os dados já haviam sido publicados.

Além disso, o mesmo grupo também avisou sobre uma vulnerabilidade semelhante no mensageiro WhatsApp em 2017, pertencente à mesma empresa, um mês depois da correção. No primeiro momento, o Facebook negou, depois acabou corrigindo o erro.

Tesouro Nacional: ransom sem danos?

Em 2021, mais um ataque ransomware é registrado na esfera pública nacional. Desta vez, o Ministério da Economia. À época, a pasta havia declarado que “a ação não gerou danos aos sistemas estruturantes da Secretaria do Tesouro Nacional, como o Sistema Integrado de Administração Financeira (SIAFI) e os relacionados à Dívida Pública”.

Em adição, a Secretaria informou não terem sido afetadas “de forma alguma” as operações do Tesouro Direito — programa destinado a pessoas físicas para compra de títulos públicos do governo brasileiro.

HariExpress – Correios, Magazine Luiza, Mercado Livre, Shopee, Amazon e Americanas

Em outubro, a integradora de marketplaces brasileira HariExpress sofreu um vazamento de 1,75 bilhão de dados sensíveis (mais de 610 GB). A empresa fundada em São Paulo tem parceiros importantes que integram seus serviços com a plataforma, entre eles Mercado Livre, B2W Digital (Americanas.com, Shoptime, Submarino e Soub!), Amazon, Shopee, Magalu, tinyERP. Bling!, e Nuvemshop, além dos Correios.

Entre os dados sensíveis vazados, estavam detalhes de pedidos dos clientes dos ecommerce acima citados, além de formas de dados PII dos consumidores: nome completo e nome de usuário, endereço de e-mail, endereços de entrega, detalhes de faturamento – incluindo endereços de cobrança e o valor pago pelas mercadorias –, imagens da mercadoria entregue e o PII de fornecedores (empresas que utilizam plataformas HariExpress).

Além dos dados dos usuários e detalhes de pedidos dos respectivos, conjuntos específicos de dados de vendedores de ecommerce também estavam incluídos (nome completo do vendedor e nome de usuário, endereço de e-mail, número de telefone, endereço comercial/residencial, CNPJ, CPF, detalhes de faturamento – incluindo preço unitário e hora de venda).

Ainda, outros registros no ElasticSearch aberto da Hariexpress também expuseram dados dos PIIs: links para imagens de faturas (com nome, endereço de compradores e vendedores), nome de usuário interno e senhas criptografadas – para cada conta da empresa HariExpress – e números de acompanhamento de pedidos.

De acordo com o relatório dos pesquisadores da SafetyDetectives, a exposição da enorme quantidade de clientes ecommerce PII e dos usuários da plataforma foi causada pela má configuração no servidor ElasticSearch.

Ministério da Saúde: de novo e de novo…

Em 2020, o Ministério da Saúde expôs dados de cerca de 243 milhões de brasileiros na internet, segundo revelações do O Estado de S. Paulo. De acordo com o veículo, o vazamento foi causado pela exposição indevida de login e senha de acesso ao sistema da pasta. À época, o Ministério da Saúde afirmou que tanto os protocolos de segurança quanto proteção são avaliados constantemente e aprimorados com objetivo de mitigar exposições.

Entretanto, um ano depois, a Saúde volta a ser alvo, desta vez, com suposto ataque ransomware assumido pelo Lapsus$ Group. Por duas vezes, em 2020 e 2021, o Datasus, departamento de informática do Ministério da Saúde, foi invadido por um hacker que tentava alertar à pasta sobre vulnerabilidades no sistema de segurança – além de deixar mensagens apontando as falhas, ele também sugeriu soluções ao Ministério.

Sem declarações consistentes sobre os recentes casos envolvendo dados sensíveis e quais foram os prejuízos dos supostos ataques, no dia 14, um alerta do Gabinete de Segurança Institucional (GSI) a órgãos federais indicou invasões com “perfis legítimos de administradores”, que expuseram mais de 500 e-mails e senhas do Ministério da Saúde desde o mês de junho. Entretanto, o número pode ser ainda maior.

De acordo com fontes ouvidas pelo O Globo, a definição usada pelo GSI fortalece a tese de que a brecha não foi causada por uma falha no sistema, mas roubo de credenciais (logins e senhas).

‘Wirecard Brasil [Part 1]’

Em novembro, a Wirecard, empresa vinculada ao PagSeguro, comunicou o acesso não autorizado a dados cadastrais de clientes em um dos seus servidores. O conteúdo do vazamento, que soma um milhão de linhas, foram parar no mercado on-line. Entre os dados expostos: nome completo, endereço físico, telefone e data de nascimento. Além de incluir documentos com informações sensíveis, como imagens de CPFs, RGs e cartas para faturas datadas de 2016 a 2021.

De acordo com a empresa de cibersegurança Syhunt, que analisou os dados expostos, “junto ao banco [vazado], há cerca de 11 tabelas de bancos de dados com informações diversas, incluindo as referentes a cartão de crédito ‘hasheadas’ de usuários. Devido a esse fatiamento e de a parte 1 ter exatos 1 milhão de usuários, a Syhunt acredita que o número de usuários afetados pode ser muito superior a 1 milhão”.

Em nota à CISO Advisor, a Wirecard/MoIP disse não ter identificado “evidências de acesso a informações sensíveis, tais como senhas, dados de cartões ou transações de clientes e não houve nenhum prejuízo financeiro aos clientes.”

Dados: se você doa, há alguém que venda

A menos de uma semana de 2022, os milhares de vazamentos de dados (não só deste ano) mais que têm provado, não apenas aos técnicos da segurança da informação, que qualquer violação, seja ela envolvendo dados sensíveis, há um custo imensurável embutido, não só financeiro, não só de imediato.

Entre as exaustivas analogias com o petróleo, sabemos que a fonte de ambos – humanos vivos e os fósseis – são exatamente o ponto em que os nossos dados e o hidrocarboneto se distanciam.

E tão valioso quanto, além de continuar crescendo, a expectativa é que os vazamentos de dados movimentem o equivalente a US$ 5 trilhões daqui três anos, segundo o último Fórum de Governança da Internet (IGF 2021), realizado no começo do mês em Katowice, na Polônia.