Hasta la vista, Boa Vista

Capa The Hack 22.gif
 

Um novo dia, um novo leak. Ao longo da semana passada, todos os holofotes se mantiveram sobre a bureau de crédito Boa Vista SCPC, que foi vítimas de dois ataques consecutivos — um pelo Fatal Error Crew (mesmo grupo responsável pelo caso C&A) e outro por um internauta identificado simplesmente como unnamed. Dentre prints e pastes que visavam provar a invasão, podemos destacar um documento que vazou dados cadastrais sensíveis e score de crédito de milhões de cidadãos brasileiros.


Em entrevista à The Hack, unnamed afirmou que a Boa Vista SCPC possuía uma API aberta para revender os dados para seus clientes. “A exploração foi feita seguindo o princípio de enumeração de usuários: você coloca um ID e a mágica acontece”, explicou. unnamed afirma ainda que o acesso já foi desativado, mas, mesmo assim, cerca de 3 milhões de pessoas podem ter sido afetadas pela falha. Outros especialistas acreditam que o problema esteja relacionado com a falha CVE 2018-11776 encontrada no Apache Struts 2.


Procuramos a Boa Vista para comentar sobre o caso e a companhia confirmou que estava investigando “a origem a extensão de um possível incidente” cibernético. “Com relação à denúncia sobre determinado servidor, informa que também, como de praxe, está analisando tais fatos e, se for o caso, adotará todas as medidas técnicas e legais pertinentes”, conclui a marca.


Well, quem já está tomando as medidas legais pertinentes é a Comissão de Proteção de Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT), que, como sempre, foi ágil em anunciar um inquérito para apurar o vazamento. “A investigação objetiva esclarecer as circunstâncias do suposto incidente de segurança”, anunciou o promotor Frederico Meinberg.


While you were sleeping...

  • Os EUA acusaram um norte-coreano de 34 anos de ter ligações com o grupo Lazarus, famoso por manter campanhas de ciberataques contra instituições financeiras do mundo inteiro.
  • Um hacker de 19 anos foi preso no Reino Unido por ter participado do ataque DDoS contra o serviço de email ProtonMail. O jovem fazia parte do grupo Apophis Squad e usava três apelidos diferentes na web.
  • A Microsoft avisou que, a partir de 2020, cobrará uma taxa mensal de quem ainda utilizar o Windows 7 e quiser baixar atualizações de segurança. É óbvio que a medida visa incentivar a atualização para o Windows 10.
 
 
 

GOSTOU?

Se inscreva e receba nossa newsletter com mais conteúdos bacanas como este.

COMPARTILHa com a galera.