A The Hack descobriu, com exclusividade, que uma empresa colombiana deixou dois ambientes vulneráveis expondo informações de milhões de cidadãos e empresas clientes — este é, possivelmente, o maior incidente de segurança cibernética da história do país latino-americano. A investigação só foi possível graças a uma colaboração internacional entre nossa equipe, o pesquisador francês Enzo (CEO da OnlineProtek, que notificou o incidente) e o pesquisador colombiano Camilo Gutiérrez Amaya (da ESET).
A empresa em questão é a Mensajeros Urbanos, uma plataforma de entregas expressas que foi fundada em 2014 na cidade de Bogotá. A companhia atua em três frentes distintas: pessoal, permitindo que qualquer internauta solicite um serviço de busca e entrega; corporativo, com contrato mensal para envio de documentos sensíveis; e comercial, com integração via API a aplicativos de terceiros e plataformas de e-commerce ou restaurantes (facilitando, assim, o pagamento e envio de pedidos pela internet).
O problema é que a empresa se esqueceu de dois ambientes vulneráveis na nuvem: uma instância Elasticsearch e um servidor web CloudFront, ambos hospedados pela Amazon. No Elasticsearch, constavam mais de 2,4 milhões de registros, incluindo nome, endereço de email, número de telefone e número da Cédula de Ciudadanía (o “RG colombiano”) de pessoas físicas, tal como dados similares de clientes corporativos.
Difícil de mensurar
Já no ambiente CloudFront, a The Hack encontrou um número indefinido de arquivos sensíveis, incluindo Cédulas de Ciudadanía digitalizadas, diversas planilhas com corridas de clientes corporativos e uma série de guias de integração da plataforma Mensajeros Urbanos para parceiros comerciais. O banco de dados era tão grande que não fomos capazes sequer de puxar seu índice completo — sendo assim, não é errado estipular que o número de documentos expostos também atinge a casa dos milhões.
A investigação deste caso perdura desde o mês de setembro, quando Enzo, CEO da empresa francesa OnlineProtek, nos notificou com exclusividade a respeito dos dois ambientes vulneráveis. A priori, acreditamos que se tratava de um vazamento do Banco Davivienda, o terceiro maior banco da Colômbia; isto porque um dos campos de dados dos registros encontrados no Elasticsearch fazia menção ao “DaviPlata”, app móvel da instituição financeira em questão.
Após inúmeras tentativas fracassadas de contato com o Davivienda — e tendo notificado, com a ajuda da ESET Colômbia, o time de respostas a incidentes de segurança computacional da Asociación Bancaria y de Entidades Financieras de Colombia (Asobancaria, associação representativa do setor bancário do país) —, descobrimos, em uma minuciosa análise, o real responsável pelos ambientes vulneráveis.
A menção ao DaviPlata, ao que tudo indica, diz respeito a uma integração realizada pela Mensajeros Urbanos com o app em questão para facilitar o pagamento por parte dos clientes que possuem uma conta na instituição financeira.
Especialista comenta sobre o caso
De acordo com Camilo Gutiérrez, head of awareness & research da ESET para a América Latina, as empresas precisam colocar a segurança de seus usuários como uma prioridade acima das funcionalidades e da usabilidade de aplicativos ou serviços. “Os casos recentes associados à implementação inadequada de tecnologias como o Elasticsearch, que vimos no Equador, Brasil e agora na Colômbia, mostram que as organizações geralmente priorizam seus negócios em detrimento da segurança da informação”, afirma.
Camilo, que nos auxiliou nas investigações, refere-se a dois casos noticiados recentemente aqui na The Hack: um vazamento que afetou praticamente toda a sociedade equatoriana (expondo um total de 20,8 milhões de dados) e uma vulnerabilidade em um sistema terceirizado do McDonald’s Brasil, que expôs informações milhões de informações sobre funcionários que trabalham na rede de fast-food. Em ambos os casos, os problemas estavam em ambientes Elasticsearch mal-configurados.
"Esses incidentes nos lembram a importância de pensar em segurança desde o início de qualquer projeto."
“Esse tipo de incidente deve servir de lição para as empresas dedicarem tempo e alocar recursos para revisar suas tecnologias e tornar a segurança um processo contínuo que passa por todas as operações de negócios. Além das violações regulamentares que esse tipo de incidente implica, as empresas devem considerar que seus clientes e usuários podem ser expostos a uma ampla variedade de ataques direcionados à engenharia social, caso essas informações caiam em mãos inadequadas”, continua o especialista.
Por fim, Camilo ainda ressalta a importância do security by the design — ou seja, a prática de pensar em segurança desde os primórdios de um empreendimento. “A implementação de uma tecnologia que fornece as ferramentas para desenvolver atividades operacionais, como o Elasticsearch, nesse caso, não deve perder de vista a necessidade de revisar se possui as configurações apropriadas para não expor as informações que são manipuladas. Todos esses incidentes nos lembram a importância de pensar em segurança desde o início de qualquer projeto”, conclui.
Sob a ótica da lei colombiana
Curiosamente, diferente do Brasil, a Colômbia já possui há muito tempo uma legislação bastante rígida no que diz respeito a segurança de dados em ambientes digitais. “Nos regulamentos colombianos sobre a proteção de dados pessoais (Lei 1581 de 2012), devemos levar em consideração que, para o processamento de dados, é necessário planejar e implementar medidas de segurança relevantes para cada processo”, explica Ivan Marrugo, advogado e diretor geral da Marrugo Rivera & Asociados, sediada em Bogotá.
“Assim, o artigo 17 da lei refere-se aos deveres dos responsáveis pelo tratamento dos dados, a fim de garantir os direitos dos proprietários, enfatizando no parágrafo 'n', a obrigação de notificar sobre a entidade competente, que neste caso é a Superintendência da Indústria e Comércio (SIC)”, continua. O prazo fixado para que a companhia entre em contato com o órgão regulador, através da Delegação de Proteção de Dados Pessoais, é de 15 dias corridos após a identificação da brecha.
Ivan ainda observa que, em 2019, através da resolução 21.478, a SIC advertiu a Uber por não ter tomado as medidas necessárias para a proteção de informações pessoais de seus usuários após um incidente de segurança que afetou uma parcela de cidadãos colombianos. Na mesma resolução, a Superintendência definiu algumas medidas básicas de segurança em processamento de dados que todo app ou serviço deveria adotar — algo que a Lei 1581 não possuía.
"É necessário promover uma cultura de respeito à proteção de dados no nível organizacional."
Entre as medidas exigidas pelo órgão, destacam-se o uso de “mecanismos para autenticação do usuário e criptografia de informações”, o devido treino do fator humano para “promover uma cultura de respeito e responsabilidade”, o desenvolvimento de “planos de ação eficazes contra possíveis contingências”, a “detecção e correção de vulnerabilidades em sistemas” e a implementação de “medidas organizacionais a serem aplicadas em todas as fases de programação [do app ou serviço]”.
“Esses programas para o gerenciamento e gerenciamento de incidentes de segurança em dados pessoais devem ser avaliados periodicamente por meio de auditorias, no intuito de identificar vulnerabilidades na prática e fortalecer os pontos fracos que podem desencadear uma possível violação de segurança”, continua Ivan. “Da mesma forma, é necessário promover uma cultura de respeito à proteção de dados no nível organizacional, por meio de treinamentos dinâmicos e socialização da lei de proteção de dados pessoais, minimizando essas contingências e promovendo um sentimento de pertencimento e responsabilidade institucional”, conclui.
Sem respostas
Temendo pela segurança dos dados dos cidadãos colombianos, a The Hack acionou a Amazon no dia 16 de outubro, que foi veloz em contatar a Mensajeros Urbanos e fechou as duas fontes do vazamento; porém, é difícil saber se algum agente malicioso teve acesso ao database durante o tempo em que ele permaneceu exposto.
Até o momento em que esta reportagem foi escrita, a companhia não respondeu as nossas tentativas de contato.