Read, hack, repeat

Exclusivo: terceirizadora de mão-de-obra deixa vazar contratos e dados de funcionários

Ramon de Souza

A Atitude Grupo, empresa de terceirização de mão-de-obra que opera sobretudo na região do Nordeste, deixou vazar uma série de documentos de cunho sigiloso por conta da má-configuração de um servidor. A companhia tem 12 anos de tradição e presta serviços para grandes clientes como Banco Central do Brasil (Bacen), Banco do Nordeste (BNB) Receita Federal, Polícia Rodoviária Federal (PRF) e Tribunais Regionais Eleitorais (TREs).

Quem nos notificou a respeito de tal incidente foi o pesquisador Gabriel Biavatti, que percebeu que um bucket do Amazon Simple Storage Service (S3) usado pela organização estava configurado como público. Lá, encontravam-se licitações, contratos (com discriminações orçamentárias), relatórios, folhas de ponto e documentos diversos de funcionários, incluindo RGs, CPFs e holerites.

Gostaria de denunciar alguma vulnerabilidade, vazamento ou outro incidente cibernético para nós? Envie um email para hello@thehack.com.br; garantimos a sua total privacidade.

Temos aqui, então, duas situações distintas, mas igualmente perigosas. Primeiramente, no caso da exposição de informações de cunho empresarial, o vazamento abre uma brecha para eventuais campanhas de espionagem corporativa, visto que os concorrentes da Atitude Grupo poderiam obter livre acesso a lista de clientes, modelos de negócio, valores praticados e benefícios oferecidos.

Em um dos casos, encontramos até mesmo uma série de correspondências entre a terceirizadora e a Empresa de Tecnologia e Informações da Previdência (Dataprev) tratando de uma multa emitida por esta segunda entidade depois que uma funcionária ausentou-se de seu trabalho. Por mais levianos que esses dados possam parecer, eles viram ouro nas mãos de certas pessoas e podem sim ser usados para obter vantagem competitiva.

E os funcionários?

Além da exposição trazer riscos à Atitude, ela também pode ser nociva para os funcionários contratados pela própria — na maioria das vezes, profissionais das áreas de limpeza (faxineiros, zeladores), operação, (porteiros, motoristas), secretaria (telefonistas, recepcionistas) e administração (assessoria financeira, jurídica e contábil, principalmente para condomínios).

Em poucos minutos, a The Hack foi capaz de encontrar RGs, CPFs, holerites e recibos de entregas diversas (cestas básicas, vale-refeição etc.), além das já citadas folhas de ponto, que discriminam o local e horário de trabalho de cada colaborador. Com tais informações privilegiadas em mãos, fica fácil para um criminoso cibernético elaborar uma fraude altamente personalizada com o objetivo de atingir um indivíduo específico.

Não foi possível estimar o peso completo do bucket e tampouco a quantidade exata de registros expostos — porém, o que percebemos é que o servidor era usado para armazenar dados bem antigos (alguns recibos datavam de 2014); logo, é possível que estejamos tratando de um vazamento de grande porte.

O que aconteceu?

Como já explicamos em outro artigo, esse tipo específico de vazamento ocorre quando um desenvolvedor utiliza o Amazon S3, serviço de armazenamento da Amazon, e se esquece de configurar corretamente o seu bucket (servidor) para que ele se torne acessível apenas para quem estiver autenticado e autorizado a utilizá-lo.

Desta forma, basta que o internauta saiba exatamente qual é o endereço do ambiente exposto para visualizar seus documentos. Não é necessário ter conhecimentos avançados em computação: ao abrir a URL em um navegador, é exibido uma espécie de “mapa” em XML que lista o endereço de download dos primeiros arquivos hospedados no servidor.

A resposta da companhia

Notificada pela The Hack, a Atitude Grupo negou que tal incidente traga riscos e destacou sua agilidade em resolver o problema assim que ele foi detectado. Confira abaixo a nota da empresa na íntegra:

“Quando o alerta chegou até a empresa, imediatamente alertamos a empresa que gerencia nossa parte de TI e eles identificaram um erro na configuração, a qual deixava o servidor público. Em 15 minutos tudo foi corrigido, mas, por precaução tiramos o servidor do ar e será mudado do local atual.

Felizmente todos os nossos dados são públicos e são encontrados nos portais da transparência do Governo Federal. Nosso sistema serve apenas para digitalizarmos e armazenarmos os documentos.

Apesar desta falha não trazer nenhum prejuízo financeiro nem risco ao negócio, tomamos muito cuidado e atenção em corrigir o mais breve possível, assim que tomamos conhecimento e continuamos cuidando para que isso não ocorra novamente”.

No momento em que esta reportagem foi escrita, o bucket já havia sido protegido e não era possível acessá-lo. Porém, é impossível afirmar que as informações não tenham caído nas mãos de cibercriminosos antes de nossa notificação. Recomendamos cautela por parte dos funcionários, parceiros e clientes da Atitude Grupo.

Compartilhar twitter/ facebook/ copiar link
Insira alguma palavra-chave. 0 Aqui está o que nós encontramos

Que tal falar conosco sobre parcerias e oportunidades?

Vamos tomar um café. Mande um email para hello@thehack.com.br.