Portais da Receita Federal de MG e MEC sofrem ataque hacker

A invasão no portal da Receita do Estado de Minas Gerais, intitulada By By Receita, assinado por DemonSad, ocorreu neste sábado (09/06), publicado no site Pastebin.com

Compartilhar:

Neste sábado, 09, o portal da Secretaria da Fazenda do Estado de Minas Gerais foi invadido por hacker, que publicou no portal Pastebin. São informações sobre comissão, composição de coligação, cargo de mesa, cargo de coligação, dependente, despacho, entre outras. A invasão foi intitulada By By Receita, assinada pelo hacker @DemonSad, o mesmo autor que invadiu o portal do MEC, também nesse sábado, explorando o banco de dados do Ministério da Educação e Cultura, publicado no site do Privatebin.com.

 

 

 

 

“Em ambos os casos, o invasor pode manipular os dados, alterar os trigers e bagunçar os dados que são disparados. Uma vez que o código do triger é compilado com usuários com permissões elevadas, isso faz com que suas alterações fiquem registradas em log da base de dados e não da aplicação. E o correlacionamento será difícil de ser feito”, explica André Johnny Araújo Ferreira, analista de segurança e especialista em banco de dados.

 

 

 

“Mesmo sendo informações da estrutura de banco de dados, não tendo uma informação diretamente de pessoas, cabe um alerta porque com aquelas informações apresentadas dá para saber como está estruturado o ambiente. Uma pessoa com visão e conhecimento de um especialista pode saber como capturar o conteúdo. Portanto, é possível identificar o banco de dados, se é um SQL, por exemplo. E, dependendo da versão, se não são realizados os updates necessários, automaticamente é possível fazer algum tipo de exploração e ter acesso”, comenta Alex Amorim, CISO e DPO.

 

Amorim complementa: “se eu já sei exatamente como está a estrutura de banco de dados é muito mais simples formar uma query para capturar aquele tipo de informação. Mesmo não sendo vazamento de informações de pessoas, nesse caso específico, é possível saber como atacar e ser mais assertivo no roubo de dados, basta descobrir uma vulnerabilidade e ter acesso ao Banco de Dados para extrair todos os tipo de informações armazenadas no ambiente”.

 

Por isso, Amorim recomenda alguns pontos de atenção. “Primeiro, quando for estruturar uma aplicação, evitar comentários de usuários no site. O segundo é garantir que o banco de dados esteja nas últimas versões de atualizações, caso não esteja é um problema. Por último, garantir que não seja possível acessar base de dados através da internet”.

 

A Security Report procurou a Secretaria da Fazenda de Minas Gerais e o MEC e até o fechamento desta matéria não obteve retorno.

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...