Incidentes cibernéticos em destaque no mês de março. O mês de março de 2021 deixou um rastro de problemas cibernéticos no Brasil.
Sites governamentais e grandes empresas foram alvos explorados por criminosos virtuais. Neste artigo, iremos apresentar três problemas cibernéticos vividos por órgãos governamentais e um vazamento de dados ocorrido em uma grande seguradora que opera no Brasil.
No início do mês de março, dois sites do governo federal foram vítimas de ataques de XSS, o site da ANAC – Agência Nacional de Aviação Civil e o site da ANVISA – Agência Nacional de Vigilância Sanitária. Pela natureza dos ataques, suspeita-se que o mesmo grupo realizou os dois ataques.
No caso do site da ANAC, após a exploração da vulnerabilidade, os atacantes fizeram uma injeção de XSS em uma das páginas internas do portal, que permitiu que os hackers rodassem o jogo Among Us Online, ou seja, o site foi usado pelos hackers para jogar de forma online!!
Caso semelhante aconteceu no site da ANVISA, que recebeu um ataque de injeção de XSS, o que tornou possível aos hackers rodar o jogo SCAR de forma online.
Estes dois casos dão a ideia do quanto estes portais governamentais precisam de ações imediatas de hardening e a aplicação das melhores práticas de segurança, para evitar que vulnerabilidades listadas pelo OWASP Top 10 possam ser bem-sucedidas.
Mas, e os vazamentos de dados? Pois bem, eles também ocorreram no mês de março de 2021, tanto em ambiente público quanto em empresas privadas.
No dia 26/3, o Ministério do Trabalho foi vítima de um vazamento de uma base de dados de mais de 1GB, que foi oferecida para venda online em sites da Dark Web por US$50.00. O arquivo negociado tinha mais de 9 milhões de registros de cidadão brasileiros, contendo informações pessoais, como Nome, Endereço e CPF.
Já no dia 28/3, uma grande seguradora que opera no Brasil, não identificada por quem vazou os dados, foi vítima de um grande vazamento de informações. Um anúncio publicado em um site de vendas da Dark Web oferecia, por US$1000.00, uma base com informações pessoais e sensíveis de 36 milhões de pessoas. Um vazamento desta magnitude leva a crer que a base pertença a uma das maiores seguradoras que opera no país.
Destes vazamentos, fica uma pergunta: Como a ANPD – Agência Nacional de Proteção de Dados Pessoais vai agir nestas situações? Embora as sanções e multas só devam ter efeito a partir de agosto de 2021, a agência já pode atuar em casos de violações de dados pessoais.
Situações como as apresentadas neste artigo tem se tornado cada vez mais comuns no Brasil. O país é um dos que mais sofrem ataques cibernéticos no mundo. É preciso ter uma coordenação que envolva agentes públicos e privados, muito investimento em tecnologia, capacitação e formação de uma força de trabalho em cibersegurança e equipes de prontidão para lidar e responder aos incidentes cibernéticos que ocorrem todos os dias em nosso país.
Por Almir Meira Alves, Cyber Training Officer CECyber
Fontes: XSS NOS SITES DA ANAC E DA ANVISA VAZAMENTO DE DADOS DO SITE DO MINISTÉRIO DO TRABALHO VAZAMENTO DE DADOS DE UMA GRANDE SEGURADORA BRASILEIRA
Deixe sua opinião!