C&Hacked

Capa The Hack #21.gif
 

Deu ruim para a C&A — sim, a loja de roupas. Após ser acusada duas vezes de usar dados de candidatos a vagas de emprego para emitir cartões de crédito, a rede varejista foi vítima de um aparente ataque do hacker j0shua, membro do Fatal Error Crew (grupo famoso por ter feito mais 3 mil defacements desde que foi fundado.

O atacante disponibilizou, em um arquivo de texto simples, mais de 36 mil gifts cards da loja em questão, embora o documento divulgado listasse apenas uma pequena parcela disso. Na lista, é possível encontrar valores das transações, datas de emissão, tipo (bonificação, troca, devolução etc.) e emails, tanto do beneficiário quanto do funcionário responsável.

Além dos vales-presentes e tickets de devolução, j0shua afirma ter tido acesso ao sistema de bloqueio e de extrato dos cartões de crédito — e até mesmo publicou algumas screenshots para provar o feito. “Já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco com os seus sistemas”, escreveu o hacker.

À The Hack, a C&A confirmou o incidente cibernético através de um comunicado oficial enviado para a nossa redação. “A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência”, afirmou. Poucas horas depois, outro membro do Fatal Error publicou outro dump com dados do sistema interno da varejista.

O mais interessante é que, caso a Lei Geral de Proteção de Dados (LGPD) já estivesse em vigor, a C&A estaria duplamente encrencada: primeiro por recolher e utilizar indevidamente informações dos candidatos às vagas de emprego e segundo por permitir um vazamento de dados sensíveis. Entre as punições aplicáveis, podemos citar a proibição da coleta e tratamento de registros digitais e multas que podem chegar a R$ 50 milhões (ou 2% do faturamento anual). E não vamos nos esquecer de que a grande varejista é europeia (olha a GDPR aí, gente!).


While you were sleeping...

  • O jogo Fortnite foi lançado para Android com uma vulnerabilidade em seu instalador que possibilita ataques do tipo man-in-the-disk. o que permite com que atacantes instalem códigos maliciosos através do pacote. A Epic ficou pistola.
  • Um relatório mostrou que mais de 1,4 mil oficiais do governo da Austrália utiliza “password123” como senha para acessar sistemas governamentais. Ah, e 813 deles utilizam “password1”. Dahora, né?
  • Hackers roubaram dados de 130 milhões de hóspedes de uma rede chinesa de hotéis e estão vendendo todas essas informações na deep web por 8 BTC. Isso dá, aproximadamente, R$ 228 mil.
 
 
 

GOSTOU?

Se inscreva e receba nossa newsletter com mais conteúdos bacanas como este.

COMPARTILHa com a galera.