Enquanto a Black Friday abre portas para ataques de hackers, nas organizações os cibercriminosos tiveram destaque desde a madrugada desta quarta-feira até hoje (30/11), expondo as empresas Carrefour, Palo Alto, Fortinet e Huawei Mobile no Brasil. Vazamento de dados, brechas de segurança, invasão na conta do twiter e segurança fraca foram as causas dos incidentes. Independente da maneira como é quebrada a segurança da informação nas empresas, com a proximidade da LGPD e outras regulamentações de proteção de dados o cenário é de cada vez mais violações caso as empresas não tratem a segurança como ponto focal e estratégico.
Fato é que vazamentos de dados e vulnerabilidades são noticiados diariamente e cada vez os números aumentam. José Pela Neto, Líder para as soluções de Cyber Transformation e Crisis Management na Deloitte Brasil, faz uma analogia desse cenário como se estivéssemos vivendo uma verdadeira pandemia, onde as empresas não encontraram o meio de conter o avanço dos ataques, seja por falta de uma área de segurança da informação estruturada, escassez de mão de obra ou baixo investimento.
“Todos os dias temos novos tipos de ataque, como o da Prosegur, que obviamente uma empresa que adquiriu uma empresa de segurança para suportar as suas necessidades e mesmo assim se viu num ataque globalizado. Esse tipo de atividade tende a se tornar cada vez mais repetitivo se as empresas não executarem os investimentos que devem ser feitos”, ilustra quando comenta sobre o ataque genérico, causado pelo ransomware RYUK (tipo de vírus que se infiltra no sistema e tenta codificar a maioria dos dados armazenados) e fez com que a companhia derrubasse o seu site no Brasil, dado ataque na Espanha.
Cultura, capacidade de execução, operação e investimento. Essas são os três remédios para tratar a segurança nas empresas. “SE não houver isso, veremos diariamente diversos ataques e assistiremos a mesma dor como se fosse uma pandemia porque não há como conter o volume de ataques, uma vez que ainda não se encontrou as vacinas necessárias ou não conseguimos implementar pelas dificuldades que existem no mercado”.
Vulnerabilidades reais
Pesquisa realizada pela Deloitte em 2018 sobre Riscos Cibernéticos e Segurança da Informação na América Latina e Caribe, que entrevistou CISOs, gestores de segurança, TI e administração dos setores financeiros, manufatura, mídia, telecomunicações e tecnologia, serviços, petróleo, gás e mineração e o setor público, revelou que:
Questionado pela Security Report quais são os principais vilões para abrir as portas aos cibercriminos, José Neto destaca:
- Complexidade do ambiente e a necessidade de endereçar tantas demandas de forma paralela diante da transformação digital e isso impacta em quase tudo. “Quando falamos de novas tecnologias, novos negócios, tudo isso representa uma atenção muito maior na hora de implementar. E as empresas se acostumaram a fazer implementações que hoje não é mais possível com a transformação digital, que requer maior atenção.
- Fragilidade no desenvolvimento de aplicações – As empresas estão desenvolvendo aplicações com soluções e metodologias ágeis, mas sem incorporar a segurança desde o desenho do projeto.
- Máquinas contra humanos – A grande maioria das empresas ainda contam com humanos para mitigar os ataques do mundo da deep web, que usa inteligência artifical e machine learning para estudar os ataques. Nesse caso, avalie com muita cautela as alternativas.
- Baixa cultura sobre segurança da informação na alta administração para priorizar os investimentos em SI. “Quais organizações estão fazendo um EMENEI olhando para segurança, sob os aspectos internos antes de se conectar com empresas conveniadas. para dentro antes de conectar com as empresas conveniadas.
Ataque x resposta
A empresa de cibersegurança Palo Alto Networks admitiu que sofreu uma violação de dados que resultou no vazamento online de dados pessoais de funcionários antigos e atuais. A violação partiu de um ex-funcionário da empresa que desejava permanecer anônimo. Os nomes, datas de nascimento e números de previdência social dos funcionários foram compartilhados on-line por um fornecedor terceirizado.
Em nota, a Palo Alto disse que: “No dia 2 de fevereiro de 2019, soubemos que informações relacionadas a sete funcionários e ex-funcionários foram inadvertidamente postadas por um fornecedor terceirizado em um site externo. Tomamos medidas imediatas para remover os dados do acesso público e encerrar o relacionamento com o fornecedor. Também informamos prontamente o incidente às autoridades competentes e às pessoas afetadas. Levamos a proteção das informações de nossos funcionários muito a sério e tomamos medidas para impedir que incidentes semelhantes ocorram no futuro”.
Já o incidente no Carrefour foi uma falha de segurança no site oficial da companhia no Brasil, oferecendo alguns dados pessoais de vários clientes da rede, bastando apenas inserir o endereço eletrônico do usuário para ter acesso imediato a informações pessoais como CPF, endereço, número de telefone e, em alguns casos, até informações de meios de pagamentos – como cartões de crédito cadastrados no portal. Em nota oficial, o Carrefour Brasil informou: “O Carrefour informa que a proteção dos dados de seus clientes é uma prioridade para a companhia. A empresa esclarece que assim que tomou conhecimento da eventual vulnerabilidade no cadastro em seu site, imediatamente tomou as providências necessárias, assegurando a privacidade dos consumidores. A companhia possui uma rigorosa política de segurança da informação, com investimentos constantes em tecnologia, garantindo a proteção de todos os dados dos usuários”. Ao longo desta sexta-feira, o site já estava operando normalmente.
E, no caso da Fortinet, que apresentou brechas de segurança na criptografia. Portanto, um invasor capaz de interceptar o tráfego de rede teria poucos problemas para decifrar e modificar as mensagens trocadas com os servidores FortiGuard, o incidente também foi corrigido. O problema afeta as versões do FortiOS (anteriormente 6.0.7 ou 6.2.0), FortiClient for Windows anterior à 6.2.0 e FortiClient for Mac anterior à 6.2.2, lançadas em 28 de março de 2019. anunciou a vulnerabilidade em 20 de novembro.
Em nota, a Fortinet explica que: “A segurança de nossos clientes é a principal prioridade da Fortinet. Depois que o problema foi divulgado a Fortinet, imediatamente começamos a trabalhar com nossa equipe de pesquisa interna para desenvolver atualizações de software para os produtos afetados. Como parte desse processo, a equipe levou um tempo para projetar uma solução enquanto protege a conexão com os Serviços FortiGuard para nossos clientes. Mantendo nossas políticas de divulgação responsáveis para proteger os clientes, a Fortinet não distribui um aviso até que todas as soluções estejam implementadas, testadas e implementadas para os produtos afetados “.
Depois de seu perfil no twiter ser invadido, a Huawei também se pronunciou informando que: “identificamos o uso indevido na conta da Huawei Brasil no Twitter nessa madrugada e está investigando o ocorrido. A companhia reforça ainda que respeita o público e os concorrentes e desaprova qualquer comentário agressivo a quaisquer empresas.” Até o fechamento dessa matéria, a companhia não atualizou sobre as causas da invasão.
Nem tudo o que parece é
Três diferentes situações corriqueiras de ataques e brechas identificadas nessa semana. De acordo com a análise de José Neto, na Palo Alto, o ataque foi gerado por falta de gestão de riscos de terceiro que de alguma forma provia algum tipo de troca de dados e isso gerou uma exposição. Na Fortinet foi uma questão de arquitetura de segurança e no Carrefour é uma visão de falha no desenvolvimento, teste e acompanhamento de vulnerabilidade e arquitetura. Portanto, são situações desconectadas.
“A relação Palo Alto e Fortinet pelos papeis de fornecedores de soluções no mercado demonstra que todo momento os hackers tentam alguma oportunidade e quem aparecer no horizonte com fragilidade vai fazer parte do seleto grupo de empresas hacker. Não acompanho ambos os fornecedores dentro do ambiente político porque não sei dizer que estão tentando descobrir uma oportunidade para prejudicar politicamente alguém ou um movimento”, reflete José Neto.
Hoje, são muitos conhecidos movimentos de ataque de fumaça, ou seja, os cibercriminosos realizam um ataque num elemento para mexer em outro para não chamar tanta atenção. “O hacker bom não é o cara que explode o banco, mas há dentro do submundo diversos interesses em apontar que Palo Alto e Fortinet são empresas inseguras. A toda hora existe a entrada de um novo player de segurança que pode reperesentar uma oportunidade comercial”.
José Neto aponta que há outra visão quando aponta as causas de ataque, uma vez que o hacker não precisa se expor, nem apresentar o CPF ou CNPJ para fazer um apontamento de fragilidade de dados. “Pode ser que algumas dessas informações não sejam vantajosas. Alguns processos no Brasil têm sido tratados dessa forma, ou seja, o hacker aponta que há um problema e não precisa provar nada porque a empresa já foi para a mídia. E isso cria uma fama na deep web. Não considero isso como principal resultado esperado, mas uma situação de ter alguém com segundas intenções dentro de um procedimento”.