A Taurus Armas, fabricante de armas de fogo, sofreu um ataque hacker no último dia 6 de fevereiro, que vazou dados pessoais de 40 mil clientes da empresa de capital aberto sediada no Rio Grande do Sul. Nesta semana já havíamos noticiado um ataque a um site pertencente à NASA e a vulnerabilidade que afetou clientes do Banco Inter.
Entre os dados, há nome completo, telefone, e-mail, endereço, CPF ou CNPJ de usuários do site. O documento com o vazamento foi obtido pelo portal TecMundo por uma fonte anônima.
O responsável pelo vazamento disse ao portal que conseguiu captar os dados ao alterar o ID de usuário na URL, prática conhecida como “improper access control” (CWE-284), que permite aos invasores comprometer a segurança de domínios ou softwares ao obter privilégios ou executar comandos.
A vulnerabilidade CWE-284 diz ainda que quando um mecanismo não é aplicado ou falta, invasores podem comprometer a segurança do software e ler informações, executar comandos, evitar sua detecção, entre outros privilégios.
O invasor apontou como motivos para o ataque o fato de não concordar com a medida implementada pelo governo Jair Bolsonaro, que facilita a posse de armas de fogo, em decreto assinado em 15 de janeiro. Maior fabricante de armas do país e exportadora para outras 70 nações, a Taurus viu suas ações subirem após a eleição do ex-deputado, mas elas despencaram após a assinatura do decreto.
Além da não conformidade com o decreto e sua posição contrária à indústria de armas, o hacker fez outras críticas à Taurus: "ela [Taurus] fabrica armas de péssima qualidade, que vivem travando, disparando acidentalmente. Muitos policiais já tiveram que aposentar por causa da porcaria da arma deles. Mas, principalmente, contra o decreto do Bolsonaro”, disse ao TecMundo.
As informações vazadas podem ser utilizadas para diversos ataques, mesmo sem os dados da conta corrente sendo vazados, como engenharia social, quando utiliza-se dados de outras pessoas para obter crédito, abrir contas bancárias ou ainda recuperar serviços assinados pelos clientes prejudicados. Outra prática comum é o phishing, que pode roubar dados através de falsos comunicados enviados por e-mail e outros mensageiros.
Em nota enviada ao portal, a Taurus disse que investigará o caso. Confira a íntegra:
Esta página que foi acessada indevidamente continha um cadastro de pessoas associadas apenas à consulta de peças. Esse cadastro não continha quaisquer dados financeiros e tampouco dados sobre aquisição de produtos da companhia. Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia.A companhia, tão logo soube desse acesso indevido, tomou imediatamente as seguintes providências: tirou imediatamente a página do ar; iniciou investigação interna; comunicou a autoridade policial responsável por crimes informáticos fornecendo todas as informações necessárias para subsidiar a investigação que já está em curso; está contratando uma empresa especializada para fazer uma auditoria completa; e iniciou o desenvolvimento de uma nova aplicação para consulta de peças, com criptografia da conexão e outras melhorias para evitar acessos indevidos".
Nenhum comentário:
Postar um comentário