O site ‘Promoção Ypê’, da marca de produtos de limpeza pertencente à Química Amparo, deixou expostos os dados de 1,2 milhão de usuários interessados em ganhar os brindes e prêmios ofertados, além de aproveitar os descontos em site. O domínio expôs informações como: nomes completos, RG, CPF, ID de participação, data de nascimento, sexo, cidade, email, senha, telefone, data de cadastro, endereço IP, navegador utilizado e sistema operacional do computador/celular.

Na manhã de sexta-feira (05), o TecMundo recebeu o alerta por uma fonte anônima citando que o vazamento ao veículo foi sua última esperança. Isso porque a fonte teria alertado a Ypê algumas vezes e, de acordo com ela, “nenhuma providência foi tomada e isso é um descaso com os consumidores”.

No total, foi possível acompanhar 1.205.477 registros no site de pessoas em todo o Brasil

A Ypê foi contatada no mesmo dia (05) e afirmou que a vulnerabilidade já tinha sido detectada e corrigida, no caso, ela estaria em processo de monitoramento. Mesmo assim, foi possível acessar os dados sem qualquer dificuldade. Acompanhe o posicionamento abaixo:

O acesso aos dados foi bloqueado na última quarta-feira (10) pela equipe responsável na empresa

“Esclarecemos que a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento. A empresa informa, ainda, que mantém uma política de segurança da informação para o cumprimento de todas as normas legais a que está sujeita, bem como controles relativos à privacidade de dados”.

A falha presente no domínio da Ypê afetava uma API (interface de programação de aplicações) que poderia ser explorada por meio de uma técnica conhecida como ID Brute Force ou ID Spray. Resumidamente, algo simples que qualquer pessoa poderia fazer: com o link correto em mãos, bastava alterar os parâmetros numéricos e sequenciais ao final do link para visualizar as informações sigilosas.

Dados expostos

O que pode acontecer com os cidadãos expostos

São inúmeros os golpes que podem ser aplicados com os dados pessoais expostos. O Brasil é o país mais atacado no mundo por phishing, segundo dados da empresa de segurança Kaspersky Lab, por exemplo.

O phishing ilude vítimas ao fazê-las acreditar em uma mensagem falsa. “Metade do trabalho” de um cibercriminoso é enganar o usuário de computador ou smartphone: como uma "pescaria", o cibercriminoso envia um texto em massa indicando que os leitores ganharam algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para resolver a situação. Isso pode acarretar em novos roubos de dados ou até instalação de malwares.

Golpes: phishing, spear phishing, engenharia social, SIM Swap etc

Mas esse é o phishing comum, mais utilizado para conseguir exatamente os dados que a expostos pela Ypê. O spear phishing é mais perigoso: com todas essas informações e dados pessoais já em mãos, o cibercriminoso consegue criar alvos e desenvolver campanhas maliciosas personalizadas. Dessa maneira, é mais fácil infectar alguém ou roubar dados ainda mais sensíveis, como informações bancárias.

A engenharia social é outro problema acarretado pelos dados expostos. De acordo com Renato Marinho, pesquisador chefe da empresa de segurança Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços online da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".

Página inicial da promoção

Por último, cibercriminosos podem realizar o SIM Swap, um golpe que está virando moda no Brasil e tentar o roubo de contas de redes sociais, WhatsApp e contas bancárias.

O SIM Swap acontece porque o processo de obtenção de um novo chip para o mesmo número — quando a pessoa perde o celular ou é roubada — é bastante falho. Criminosos conseguem se passar pelas vítimas com informações vazadas em bancos de dados e sites, como o da Ypê. O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço, afirma a empresa de segurança Kaspersky em relatório divulgado.

“O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço para outros criminosos. Os fraudadores atiram em todas as direções; os ataques podem ser direcionados ou não, mas qualquer pessoa pode ser vítima”, explicou Fabio Assolini, analista sênior de segurança da Kaspersky Lab e corresponsável pelo relatório.

Dados expostos

Cidadãos que se registraram no site da Ypê atrás da promoção, podem entrar em contato com a empresa responsável buscando mais informações se estão presentes no vazamento ou não

Como fazer denúncias ao TecMundo

O TecMundo recebe denúncias de vazamentos, exposição, falhas, vulnerabilidades, golpes e malwares descobertos. Para realizar uma denúncia, basta escolher um dos canais abaixo. A anonimidade do denunciante é garantida.