A Atitude Grupo, empresa de terceirização de mão-de-obra que opera sobretudo na região do Nordeste, deixou vazar uma série de documentos de cunho sigiloso por conta da má-configuração de um servidor. A companhia tem 12 anos de tradição e presta serviços para grandes clientes como Banco Central do Brasil (Bacen), Banco do Nordeste (BNB) Receita Federal, Polícia Rodoviária Federal (PRF) e Tribunais Regionais Eleitorais (TREs).
Quem nos notificou a respeito de tal incidente foi o pesquisador Gabriel Biavatti, que percebeu que um bucket do Amazon Simple Storage Service (S3) usado pela organização estava configurado como público. Lá, encontravam-se licitações, contratos (com discriminações orçamentárias), relatórios, folhas de ponto e documentos diversos de funcionários, incluindo RGs, CPFs e holerites.
Gostaria de denunciar alguma vulnerabilidade, vazamento ou outro incidente cibernético para nós? Envie um email para hello@thehack.com.br; garantimos a sua total privacidade.
Temos aqui, então, duas situações distintas, mas igualmente perigosas. Primeiramente, no caso da exposição de informações de cunho empresarial, o vazamento abre uma brecha para eventuais campanhas de espionagem corporativa, visto que os concorrentes da Atitude Grupo poderiam obter livre acesso a lista de clientes, modelos de negócio, valores praticados e benefícios oferecidos.
Em um dos casos, encontramos até mesmo uma série de correspondências entre a terceirizadora e a Empresa de Tecnologia e Informações da Previdência (Dataprev) tratando de uma multa emitida por esta segunda entidade depois que uma funcionária ausentou-se de seu trabalho. Por mais levianos que esses dados possam parecer, eles viram ouro nas mãos de certas pessoas e podem sim ser usados para obter vantagem competitiva.
E os funcionários?
Além da exposição trazer riscos à Atitude, ela também pode ser nociva para os funcionários contratados pela própria — na maioria das vezes, profissionais das áreas de limpeza (faxineiros, zeladores), operação, (porteiros, motoristas), secretaria (telefonistas, recepcionistas) e administração (assessoria financeira, jurídica e contábil, principalmente para condomínios).
Em poucos minutos, a The Hack foi capaz de encontrar RGs, CPFs, holerites e recibos de entregas diversas (cestas básicas, vale-refeição etc.), além das já citadas folhas de ponto, que discriminam o local e horário de trabalho de cada colaborador. Com tais informações privilegiadas em mãos, fica fácil para um criminoso cibernético elaborar uma fraude altamente personalizada com o objetivo de atingir um indivíduo específico.
Não foi possível estimar o peso completo do bucket e tampouco a quantidade exata de registros expostos — porém, o que percebemos é que o servidor era usado para armazenar dados bem antigos (alguns recibos datavam de 2014); logo, é possível que estejamos tratando de um vazamento de grande porte.
O que aconteceu?
Como já explicamos em outro artigo, esse tipo específico de vazamento ocorre quando um desenvolvedor utiliza o Amazon S3, serviço de armazenamento da Amazon, e se esquece de configurar corretamente o seu bucket (servidor) para que ele se torne acessível apenas para quem estiver autenticado e autorizado a utilizá-lo.
Desta forma, basta que o internauta saiba exatamente qual é o endereço do ambiente exposto para visualizar seus documentos. Não é necessário ter conhecimentos avançados em computação: ao abrir a URL em um navegador, é exibido uma espécie de “mapa” em XML que lista o endereço de download dos primeiros arquivos hospedados no servidor.
A resposta da companhia
Notificada pela The Hack, a Atitude Grupo negou que tal incidente traga riscos e destacou sua agilidade em resolver o problema assim que ele foi detectado. Confira abaixo a nota da empresa na íntegra:
“Quando o alerta chegou até a empresa, imediatamente alertamos a empresa que gerencia nossa parte de TI e eles identificaram um erro na configuração, a qual deixava o servidor público. Em 15 minutos tudo foi corrigido, mas, por precaução tiramos o servidor do ar e será mudado do local atual.
Felizmente todos os nossos dados são públicos e são encontrados nos portais da transparência do Governo Federal. Nosso sistema serve apenas para digitalizarmos e armazenarmos os documentos.
Apesar desta falha não trazer nenhum prejuízo financeiro nem risco ao negócio, tomamos muito cuidado e atenção em corrigir o mais breve possível, assim que tomamos conhecimento e continuamos cuidando para que isso não ocorra novamente”.
No momento em que esta reportagem foi escrita, o bucket já havia sido protegido e não era possível acessá-lo. Porém, é impossível afirmar que as informações não tenham caído nas mãos de cibercriminosos antes de nossa notificação. Recomendamos cautela por parte dos funcionários, parceiros e clientes da Atitude Grupo.
- Leia mais notícias sobre Vazamentos.