Uma mina de ouro, sem portas ou seguranças

lightest.gif
 

Dados pessoais de aproximadamente 50 milhões de brasileiros ficaram vulneráveis em um servidor desprotegido na web durante cerca de uma semana, conforme apurou a The Hack junto com Bob Diachenko, diretor de pesquisas de riscos cibernéticos da Hacken, uma companhia de consultoria em cibersegurança baseada na Ucrânia.

Conhecido por encontrar ambientes vulneráveis (especialmente aqueles construídos com a plataforma ElasticSearch), Bob detectou um banco de dados contendo informações que, a priori, acreditava-se pertencer ao Banco do Brasil.

Porém, em parceria com o especialista, constatamos que o material em questão se assemelhava mais a uma lista de funcionários, visto que, entre os dados presentes no database, encontravam-se nome, data de nascimento, CPF, CTPS (Carteira de Trabalho e Previdência Social), número do PIS (Programa de Integração Social), quantia de horas semanais trabalhadas, salário mínimo anual e até motivo de desligamento.

Não demorou muito também para descobrirmos que os dados pertenciam a uma instituição financeira, visto que uma das entradas da tabela era o campo CNAE (Código Nacional de Atividade Econômica), que apontava para a subclasse 6422-1/00 (Bancos múltiplos, com carteira comercial). Bob também conseguiu identificar o responsável por manter o servidor e a equipe da The Hack foi atrás do contato em questão.

No fim das contas, o deslize foi da Spaceships Web Solutions, uma pequena agência de desenvolvimento web sediada em São Paulo. Em entrevista, Victor Dias, 21 anos, fundador da empresa, confirmou estar trabalhando para uma companhia do ramo financeiro, mas não pôde revelar o nome do cliente. “Era um ambiente de desenvolvimento”, explicou. “O projeto é que ele [o cliente] tenha mais praticidade dentro de suas operações, visto que isso estava em outro banco de dados (Access). Tive que deixar aberto para importar”, finaliza.

A Spaceships imediatamente fechou o acesso ao database após nosso contato; infelizmente, não há como saber se algum agente malicioso se aproveitou da brecha ao longo dessa suposta “uma semana” para realizar uma cópia das informações e posteriormente utilizá-las para fins criminais, incluindo phishing direcionando ou falsificação de identidade. Também permanece no ar o mistério sobre a quem os dados realmente pertencem — afinal, não é qualquer instituição financeira que tem tantos funcionários assim.

A The Hack continuará acompanhando o caso e publicaremos eventuais atualizações em edições futuras.


While you were sleeping...

  • ...Well, nothing happened. It’s New Year’s Eve, after all. Até os cibercriminosos estão quietinhos. Volte depois de uns dias.

 
 
 

GOSTOU?

Se inscreva e receba nossa newsletter com mais conteúdos bacanas como este.

COMPARTILHa com a galera.