Digital Fraud, Data Leakage, Threat Intelligence

Vazamento de 20 mi de dados pessoais no Equador: alerta para empresas

Por André Luiz R. Silva em
COMPARTILHAR

As autoridades do Equador prenderam o diretor de TI da empresa de consultoria Novaestrat no dia 17 de setembro, responsabilizando-o pelo vazamento de dados pessoais de 20 milhões de equatorianos. 

O número surpreende principalmente por ser maior que a população do país, que tem 16 milhões de habitantes. Diante da gravidade da situação, o governo equatoriano logo enviou um projeto de lei de proteção de dados ao Congresso.

Além dos dados poderem ser utilizados de três diferentes formas (veja abaixo), esse caso é um importante alerta sobre a relevância do monitoramento de dados sensíveis e privados do governo e das corporações.

 

O que encontramos nos 20 milhões de dados vazados


Os dados vazados dos cidadãos equatorianos contêm informações de nome completo, endereço, e-mail, números de identidade e da receita federal, registros trabalhistas e outros. Também estavam inclusas informações bancárias e financeiras, como números de contas, saldos e créditos. Até o grau de educação está lá!

São aproximadamente 18 GB de dados. Entretanto, a base não parece ser própria da Novaestrat, apesar de hospedada nos servidores da empresa. Segundo a vpnMentor, que descobriu e noticiou o vazamento em seu blog, os registros podem incluir dados do governo equatoriano, do banco nacional equatoriano (BIESS, El Banco del Instituto Ecuatoriano de Seguridad Social) e também da associação automotiva Aeade.

Já os outros 4 milhões de registros excedentes ao tamanho da população equatoriana seriam de pessoas que morreram ou já moraram no país. Este último caso é o de Julian Assange, que está também exposto nos dados! 

O fundador da WikiLeaks foi apontado no anúncio e, de fato, ele teve asilo político em 2012 no país. A entrada dos dados dele (com tarjas) foi divulgada:

Ecuador leak Julian Assange


Dados vazados de empresas

A vpnMentor também localizou dados sensíveis relacionados a pagamentos de impostos por empresas equatorianas. Os Ecuadorian Taxpayer Identification Numbers (RUCs) foram encontrados em meio a endereços de empresas, nome dos representantes legais e informações de contato.

 

Uma base de dados, três tipos diferentes de perigos


São 3 formas pelas quais os dados vazados podem ser utilizados para obter vantagem financeira e/ou furto de outras informações mais sensíveis. Esses perigos foram também apontados no anúncio da vpnMentor:

Phishing e malware

Os cibercriminosos podem criar golpes mais direcionados – em geral via e-mail, como no caso do spear phishing –, que captam a confiança da vítima ao “seduzi-la” e criando credibilidade ao apontar dados como endereço ou nome dos pais.


Roubo de identidade e fraudes financeiras

Os cibercriminosos podem utilizar os dados de identidade das pessoas para criar contas-laranja e fazer lavagem de dinheiro. Essas contas são, inclusive, muito vendidas em deep e dark web.


Espionagem de empresas e fraudes

As informações vazadas das empresas podem levar a acessos a sistemas e obtenção criminosa de dados sensíveis internos. Uma prática muito comum desse tipo é o uso dos dados de executivos.

 

Problemas e lições: a responsabilidade das empresas


É possível separar em três os problemas do vazamento da Novaestrat. Eles são característicos de uma falta de comprometimento e respeito com os dados de usuários:

  • Coleta indevida de dados de supostas várias fontes para a formação de uma única base, demonstrando também uma “conivência” de outras empresas
  • Armazenamento incorreto dos dados em um servidor inseguro e não confiável, o que permitiu a exposição
  • Falta de ação e notificação às autoridades e “sumiço” da cena pública – a Novaestrat tirou do ar seu site e todos os perfis em redes sociais


Novos problemas: proteção contra riscos digitais é coisa séria

A vpnMentor frisou ainda como a exposição de dados não pode ser desfeita. Mesmo com o conserto, as informações podem já estar nas mãos incorretas – o que traz a necessidade de remediação de futuras exposições. 

Dados da IBM apontam que as empresas no mundo demoram, em média, 197 dias (6 meses e 17 dias!) para conter uma situação de vazamento de dados. Feito isso, ainda é necessária que seja feita a limpeza de todos os canais em que as informações sensíveis podem vir a ser hospedadas. 

Em termos gerais, isso não significa menos que um problema ético: toda empresa deve se responsabilizar por limpar a sua "sujeira". Considerando a imensidão da internet, pode ser frustrante pensar nisso. Mas ferramentas corretas e o avanço tecnológico mostram que é possível contornar essa situação. 

O Axur One está aí para isso: com a eficiência de milhares de BOTs e uso intensivo de machine learning é possível monitorar e reagir em poucos cliques a riscos como vazamento de dados. Confira nosso site e entenda melhor nossas soluções.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz R. Silva

Jornalista formado pela UFRGS e Content Creator da Axur, responsável pelo Deep Space e por atividades de imprensa. Também já analisei dados e fraudes na equipe de Brand Protection aqui na Axur. Mas, em resumo: meu brilho nos olhos é trabalhar com tecnologia, informação e conhecimento juntos!