Empresa colombiana expõe mais de 2,4 milhões de registros pessoais


A The Hack descobriu, com exclusividade, que uma empresa colombiana deixou dois ambientes vulneráveis expondo informações de milhões de cidadãos e empresas clientes — este é, possivelmente, o maior incidente de segurança cibernética da história do país latino-americano. A investigação só foi possível graças a uma colaboração internacional entre nossa equipe, o pesquisador francês Enzo (CEO da OnlineProtek, que notificou o incidente) e o pesquisador colombiano Camilo Gutiérrez Amaya (da ESET). 

A empresa em questão é a Mensajeros Urbanos, uma plataforma de entregas expressas que foi fundada em 2014 na cidade de Bogotá. A companhia atua em três frentes distintas: pessoal, permitindo que qualquer internauta solicite um serviço de busca e entrega; corporativo, com contrato mensal para envio de documentos sensíveis; e comercial, com integração via API a aplicativos de terceiros e plataformas de e-commerce ou restaurantes (facilitando, assim, o pagamento e envio de pedidos pela internet). 

O problema é que a empresa se esqueceu de dois ambientes vulneráveis na nuvem: uma instância Elasticsearch e um servidor web CloudFront, ambos hospedados pela Amazon. No Elasticsearch, constavam mais de 2,4 milhões de registros, incluindo nome, endereço de email, número de telefone e número da Cédula de Ciudadanía (o “RG colombiano”) de pessoas físicas, tal como dados similares de clientes corporativos. 

Difícil de mensurar 

Já no ambiente CloudFront, a The Hack encontrou um número indefinido de arquivos sensíveis, incluindo Cédulas de Ciudadanía digitalizadas, diversas planilhas com corridas de clientes corporativos e uma série de guias de integração da plataforma Mensajeros Urbanos para parceiros comerciais. O banco de dados era tão grande que não fomos capazes sequer de puxar seu índice completo — sendo assim, não é errado estipular que o número de documentos expostos também atinge a casa dos milhões. 

A investigação deste caso perdura desde o mês de setembro, quando Enzo, CEO da empresa francesa OnlineProtek, nos notificou com exclusividade a respeito dos dois ambientes vulneráveis. A priori, acreditamos que se tratava de um vazamento do Banco Davivienda, o terceiro maior banco da Colômbia; isto porque um dos campos de dados dos registros encontrados no Elasticsearch fazia menção ao “DaviPlata, app móvel da instituição financeira em questão. 

Após inúmeras tentativas fracassadas de contato com o Davivienda — e tendo notificado, com a ajuda da ESET Colômbia, o time de respostas a incidentes de segurança computacional da Asociación Bancaria y de Entidades Financieras de Colombia (Asobancaria, associação representativa do setor bancário do país) —, descobrimos, em uma minuciosa análise, o real responsável pelos ambientes vulneráveis. 

A menção ao DaviPlata, ao que tudo indica, diz respeito a uma integração realizada pela Mensajeros Urbanos com o app em questão para facilitar o pagamento por parte dos clientes que possuem uma conta na instituição financeira. 

Especialista comenta sobre o caso 

De acordo com Camilo Gutiérrez, head of awareness & research da ESET para a América Latina, as empresas precisam colocar a segurança de seus usuários como uma prioridade acima das funcionalidades e da usabilidade de aplicativos ou serviços. “Os casos recentes associados à implementação inadequada de tecnologias como o Elasticsearch, que vimos no Equador, Brasil e agora na Colômbia, mostram que as organizações geralmente priorizam seus negócios em detrimento da segurança da informação”, afirma. 

Camilo, que nos auxiliou nas investigações, refere-se a dois casos noticiados recentemente aqui na The Hack: um vazamento que afetou praticamente toda a sociedade equatoriana (expondo um total de 20,8 milhões de dados) e uma vulnerabilidade em um sistema terceirizado do McDonald’s Brasil, que expôs informações milhões de informações sobre funcionários que trabalham na rede de fast-food. Em ambos os casos, os problemas estavam em ambientes Elasticsearch mal-configurados. 

“Esse tipo de incidente deve servir de lição para as empresas dedicarem tempo e alocar recursos para revisar suas tecnologias e tornar a segurança um processo contínuo que passa por todas as operações de negócios. Além das violações regulamentares que esse tipo de incidente implica, as empresas devem considerar que seus clientes e usuários podem ser expostos a uma ampla variedade de ataques direcionados à engenharia social, caso essas informações caiam em mãos inadequadas”, continua o especialista. 

Por fim, Camilo ainda ressalta a importância do security by the design — ou seja, a prática de pensar em segurança desde os primórdios de um empreendimento. “A implementação de uma tecnologia que fornece as ferramentas para desenvolver atividades operacionais, como o Elasticsearch, nesse caso, não deve perder de vista a necessidade de revisar se possui as configurações apropriadas para não expor as informações que são manipuladas. Todos esses incidentes nos lembram a importância de pensar em segurança desde o início de qualquer projeto”, conclui. 

Sob a ótica da lei colombiana 

Curiosamente, diferente do Brasil, a Colômbia já possui há muito tempo uma legislação bastante rígida no que diz respeito a segurança de dados em ambientes digitais. “Nos regulamentos colombianos sobre a proteção de dados pessoais (Lei 1581 de 2012), devemos levar em consideração que, para o processamento de dados, é necessário planejar e implementar medidas de segurança relevantes para cada processo”, explica Ivan Marrugo, advogado e diretor geral da Marrugo Rivera & Asociados, sediada em Bogotá. 

“Assim, o artigo 17 da lei refere-se aos deveres dos responsáveis pelo tratamento dos dados, a fim de garantir os direitos dos proprietários, enfatizando no parágrafo 'n', a obrigação de notificar sobre a entidade competente, que neste caso é a Superintendência da Indústria e Comércio (SIC)”, continua. O prazo fixado para que a companhia entre em contato com o órgão regulador, através da Delegação de Proteção de Dados Pessoais, é de 15 dias corridos após a identificação da brecha. 

Ivan ainda observa que, em 2019, através da resolução 21.478, a SIC advertiu a Uber por não ter tomado as medidas necessárias para a proteção de informações pessoais de seus usuários após um incidente de segurança que afetou uma parcela de cidadãos colombianos. Na mesma resolução, a Superintendência definiu algumas medidas básicas de segurança em processamento de dados que todo app ou serviço deveria adotar — algo que a Lei 1581 não possuía. 

Entre as medidas exigidas pelo órgão, destacam-se o uso de “mecanismos para autenticação do usuário e criptografia de informações”, o devido treino do fator humano para “promover uma cultura de respeito e responsabilidade”, o desenvolvimento de “planos de ação eficazes contra possíveis contingências”, a “detecção e correção de vulnerabilidades em sistemas” e a implementação de “medidas organizacionais a serem aplicadas em todas as fases de programação [do app ou serviço]”. 

“Esses programas para o gerenciamento e gerenciamento de incidentes de segurança em dados pessoais devem ser avaliados periodicamente por meio de auditorias, no intuito de identificar vulnerabilidades na prática e fortalecer os pontos fracos que podem desencadear uma possível violação de segurança”, continua Ivan. “Da mesma forma, é necessário promover uma cultura de respeito à proteção de dados no nível organizacional, por meio de treinamentos dinâmicos e socialização da lei de proteção de dados pessoais, minimizando essas contingências e promovendo um sentimento de pertencimento e responsabilidade institucional”, conclui. 

Sem respostas 

Temendo pela segurança dos dados dos cidadãos colombianos, a The Hack acionou a Amazon no dia 16 de outubro, que foi veloz em contatar a Mensajeros Urbanos e fechou as duas fontes do vazamento; porém, é difícil saber se algum agente malicioso teve acesso ao database durante o tempo em que ele permaneceu exposto. 

Até o momento em que esta reportagem foi escrita, a companhia não respondeu as nossas tentativas de contato. 

Fonte: The Hack

Vírus infecta mais de 45 mil celulares Android


Nos últimos seis meses, um novo tipo de malware foi observado por diversas empresas de segurança, pois, aparentemente, ele possui um sistema que se reinstala caso seja removido, tornando a sua eliminação praticamente impossível. 

O malware, que recebeu o nome de xHelper, foi detectado pela primeira vez em março deste ano. Desde então, o software malicioso se expandiu para infectar mais de 32 mil dispositivos até agosto, de acordo com um levantamento feito pela empresa de segurança Malwarebytes. Agora, a Symantec estima que o software atingiu um total de 45 mil aparelhos. 

Pode-se dizer que o malware está em ascensão. A Symantec diz que o xHelper infecta em média 131 novos dispositivos por dia, com um total de 2.400 novas vítimas por mês. A maioria dos casos acontecem na Índia, nos Estados Unidos e na Rússia, sempre em dispositivos Android. 

Instalação da ameaça 

A origem dessas infecções está ligada aos "redirecionamentos de páginas" que enviam os usuários para sites que hospedam aplicativos para Android. Esse tipo de site auxilia o usuário a instalar aplicativos não oficiais de fora da Play Store. Um código oculto nesses apps faz o download do xHelper. 

Mesmo sendo uma ameaça, felizmente, o malware não realiza operações destrutivas. De acordo com empresas de segurança, durante a sua vida útil operacional, o xHelper mostrou apenas anúncios pop-up e notificações com conteúdo de spam. 

Os anúncios e as notificações redirecionam os usuários para a Play Store, onde as vítimas são solicitadas a instalar outros aplicativos. 

Funcionando de forma independente 

Pelo que se sabe, o malware vem junto de algum aplicativo baixado fora da Play Store, porém, ao instalar o app infectado, o xHelper se instala como um serviço independente. Desinstalar o aplicativo original não removerá o xHelper, ele continuará ativo nos dispositivos dos usuários. 

Software que não pode ser desinstalado 

Mesmo que o software seja encontrado na seção de aplicativos instalados, removê-lo não funcionará, pois ele sempre conseguirá voltar ao sistema, mesmo que os usuários executem uma redefinição do dispositivo para restaurar os padrões de fábrica. 

Como o xHelper sobrevive às redefinições de sistema ainda é um mistério. No entanto, tanto a Malwarebytes quanto a Symantec disseram que o aplicativo não adultera os apps do dispositivo. Além disso, foi informado que é "improvável que o xHelper estivesse pré-instalado nos aparelhos". 

Em alguns casos, usuários relataram que, mesmo removendo o aplicativo malicioso e desabilitando a opção "instalar aplicativos de fontes desconhecidas", a configuração era ativada novamente e o aplicativo era reinstalado em questão de minutos. 

Algumas pessoas relataram que obtiveram sucesso com algumas versões pagas de soluções antivírus para celular, mas outras não. 

De acordo com a Symantec, o xHelper está em constante evolução, com atualizações de código sendo enviadas regularmente, o que explica o fato de alguns antivírus terem conseguido removê-lo. 

Ameaça à segurança 

É importante lembrar que, mesmo que o xHelper não apresente uma ameaça até o momento, ele possui um grande poder de modificar o sistema, e isso pode ser explorado por seus criadores.  

Por enquanto, ele está envolvido em práticas de spam e dinheiro gerado pela instalação de aplicativos, mas ele possui alguns recursos mais perigosos. 

O xHelper pode baixar e instalar outros aplicativos, uma função que seus desenvolvedores podem usar a qualquer momento para implantar algum outro tipo de ameaça, como ransomware, trojans bancários, bots DDoS ou softwares para roubo de senhas. 

Fonte: Olhar Digital