2019 mal começou e já foram expostos diversos casos de vazamento de dados envolvendo grandes empresas brasileiras. Essa semana, mais um incidente foi exposto em forma de denúncia pelos hacktivistas AnonBR / RobinHood, em que mostra uma publicação no site de compartilhamento de texto Pastebin com vazamento de mais de 270GB entre dados sigilosos e trocas de emails de empresas privadas pertencentes ao Grupo J&A Holding.
A publicação no Pastebin já foi excluída, mas ela segue exposta em outro site de compartilhamento, o AnonPaste, dos Anonymous. De acordo com o texto divulgado, as empresas do Grupo operam com dados sigilosos da população brasileira e não possuem nenhuma preocupação com a segurança.
“Além das informações das centenas de milhares de clientes serem facilmente obtidas, eles vendem essas informações privadas por uma nova empresa do grupo (Assert Tecnologia + Stormtech). Além dos dados de pessoas físicas, eles possuem informações de todas as empresas do Brasil. As diversas empresas do Grupo comercializam dados pessoais de brasileiros, inclusive informações financeiras e do INSS”, diz o texto.
A publicação continua: “De alguma forma eles possuem os dados de INSS de toda a população e eles vendem essa informação através dos sites (http://consulta.plus/ e http://app.asserttecnologia.com.br/). Os dados de INSS estão expostos nessa URL para quem quiser baixar: http://ws.consulta.plus/v3/inss/cadastro/00022202960?apiKey=TWQO0KTnYkir4703zMVam8M395xDgKFazBwEDSqYHq4US4jwpqDTAwGan8otFyLJ”
As empresas citadas no vazamento incluem:
- www.passepag.com.br (Máquina de cartão)
- fontesseguros.com.br (Seguradora)
- www.deucredito.com.br (Financeira)
- fontespromotora.com.br (Venda de crédito junto a financeiras)
- www.dinamopromotora.com.br
- simcash.net
- fontesassessoriafinanceira.com.br
- www.medeirosmann.adv.br (Escritório de Advocacia)
- retentiva.com.br (Contact Center)
- asserttecnologia.com.br (Big Data for Business)
Nesse caso de vazamento, o texto publicado pelos Anonymous mostra que nas trocas internas de e-mail, os diretores tinham ciência de que não poderiam vender esses dados, pois são ações não autorizadas pela legislação brasileira. Uma das empresas de advocacia, pertencente ao grupo, trabalhava a fim de dar uma garantia jurídica ao processo.
Em uma das trocas de e-mail, é possível ver conversas com o assunto “Blindagem dados Assert” em que demonstra a preocupação dos diretores em bolar planos de ação para “assegurar origem dos dados da Assert”
“Precisamos montar um plano de ação urgente pois estão saindo muitas reportagens sobre o assunto e estou começando a ficar com medo”, dizia a mensagem.
Ao final do texto, é possível observar a presença de links que contém dados brutos das revelações realizadas.
Procurada pela Security Report, a J&A Holding enviou um comunicado de esclarecimento:
“A J&A Soluções Inteligentes Multissetoriais acionou, na noite de ontem (20), todo seu departamento de Tecnologia de Informação e solucionou as tentativas de ataques cibernéticos nos sistemas das empresas da holding. Além da TI, a assessoria jurídica também foi alertada e, desde então, já está tomando as medidas legais cabíveis contra o ataque.
A J&A tranquiliza seus colaboradores, clientes e parceiros, assegurando que todos os dados, sigilosos ou não, estão protegidos e nenhum dano ou prejuízo será refletido na atuação das empresas.
A holding informa que até o momento não foi detectada divulgação de nenhum dado confidencial financeiro ou bancário e que todas as medidas contingenciais e corretoras de proteção, além de denúncia a falsos comentários online, estão em andamento.
A J&A reafirma que suas operações seguem normais, sem comprometimento dos seus sistemas e reforçando ainda mais a segurança de informação.”