Documentos vazados na quarta-feira (6) indicam dados pessoais de 40 mil clientes da empresa de capital aberto Taurus Armas, do Rio Grande do Sul. Os dados vazados são sensíveis e incluem informações como nome completo, número telefônico de contato, email, endereço completo, CEP e CPF ou CPNJ.

A Taurus é uma empresa nacional conhecida por fabricar armas de fogo e exportar seus produtos para mais de 70 países. A companhia tomou as manchetes por suas ações de mercado no começo de 2019, as quais alavancaram após a eleição do governo Jair Bolsonaro — contudo, as ações despencaram até 22% após decreto de flexibilização assinado pelo atual presidente.

A Taurus derrubou a página e contatou as autoridades policiais para uma investigação

O TecMundo recebeu os arquivos via email de uma fonte anônima que, em resposta, comentou que realizou a extração dos dados ao alterar o ID do usuário na URL. Esse tipo de ataque é conhecido como “improper access control” (CWE-284), uma vulnerabilidade que permite aos invasores comprometer a segurança de domínios ou softwares ao obter prilégios ou executar comandos.

“Além de conseguir alterar o ID do usuário, eu fiz uma ferramenta para baixar os dados de todos os usuários”, finalizou a fonte que não respondeu a todas as perguntas enviadas.

Dados censurados

CWE-284

O que diz a vulnerabilidade CWE-284: “Quando qualquer mecanismo não é aplicado ou falha, os invasores podem comprometer a segurança do software obtendo privilégios, lendo informações confidenciais, executando comandos, evitando a detecção etc.”.

A Taurus, desde que foi contatada pelo TecMundo, abriu uma investigação e se mostrou preocupada com o caso. Hoje (14), nos enviou uma nota sobre o caso:

"Esta página que foi acessada indevidamente continha um cadastro de pessoas associadas apenas à consulta de peças. Esse cadastro não continha quaisquer dados financeiros e tampouco dados sobre aquisição de produtos da companhia. Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia.

A companhia, tão logo soube desse acesso indevido, tomou imediatamente as seguintes providências: tirou imediatamente a página do ar; iniciou investigação interna; comunicou a autoridade policial responsável por crimes informáticos fornecendo todas as informações necessárias para subsidiar a investigação que já está em curso; está contratando uma empresa especializada para fazer uma auditoria completa; e iniciou o desenvolvimento de uma nova aplicação para consulta de peças, com criptografia da conexão e outras melhorias para evitar acessos indevidos".

Dados censurados

Vazamento e hackativismo

Junto com os arquivos, o invasor ainda enviou uma nota explicando os motivos da invasão: “É contra a indústria de armas. Ela fabrica armas de péssima qualidade, que vivem travando, disparando acidentalmente. Muitos policiais já tiveram que aposentar por causa da porcaria da arma deles. Mas, principalmente, contra o decreto do Bolsonaro”.

Spear phishing: o principal problema de dados pessoais vazados

Para um cibercriminoso com um conhecimento considerável, as informações obtidas pela extração na Taurus Armas podem ser utilizadas para diversos ataques. Ou seja: não é necessário ter o número da conta-corrente e a senha para praticar algum golpe.

Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde abertura de contas bancárias para obtenção de crédito, tentativa de recuperação de credenciais de acessos a serviços online da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada (spear phishing) para invadir algum dispositivo até roubar mais credenciais sensíveis por meio desses ataques. Os cenários ainda podem se desdobrar para pedidos de segunda via de cartão de crédito e muitos outros.

Dados censurados

Como fazer denúncias ao TecMundo