16/12/2021 - 9:33
Diversos sites do governo federal foram alvo de ataques cibernéticos nos últimos dias: Ministério da Saúde, ConecteSUS, Sistema de Informação do Programa Nacional de Imunização, Controladoria Geral da União, Polícia Rodoviária Federal e Instituto Federal do Paraná.
Enquanto os crimes ainda são investigados sem a transparência exigida pela Lei Geral de Proteção de Dados (LGPD), já que o brasileiro tem direito de saber o que ocorreu com seus próprios dados sensíveis, o Gabinete de Segurança Institucional (GSI) informou na terça-feira (14), segundo o jornal O Globo, que há indícios de que a invasão tenha ocorrido através das credenciais de um funcionário do governo. Com isso, os criminosos poderiam ter tido acesso ao mesmo sistema em nuvem que hospeda os sites atacados.
+ PF intima Bolsonaro a depor em caso de vazamento de inquérito sobre ataque hacker ao TSE
+ Queiroga confirma novo ataque hacker ao site do Ministério da Saúde
O primeiro site invadido foi o do Ministério da Saúde, na última sexta (10). Os criminosos deixaram uma mensagem na qual exigiam pagamento de resgate para devolver os dados de vacinação de milhões de brasileiros. Eles afirmam que teriam criptografado 50 TB de informações através de um ransomware.
Para Mauricio Fiss, diretor da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, proteção e privacidade de dados, os dados do ministério da saúde não foram sequestrados. Ele especula que, no caso da página do ConecteSUS, pode se tratar de um sequestro de DNS (sistema de nomes de domínio, na sigla em inglês): uma página falsa do Ministério da Saúde que simularia ter sido invadida.
“Os ataques mostram uma fragilidade de segurança, mas ninguém baixa 50 TB de dados em um dia. Tem que invadir, rastrear os dados, separá-los e baixar. Não tiveram tempo para fazer esse dano todo”, avalia Fiss, que não descarta que os outros sites do governo que foram invadidos tenham origem em “phishing” (mensagens de e-mail, WhatsApp e até SMS com links maliciosos) para roubar a credencial (login e senha) de algum usuário.
Em comum, os sites atacados têm o mesmo serviço de nuvem da empresa Primesys, subsidiária da Embratel, que intermedia a tecnologia fornecida pela AWS, que pertence à Amazon. Assim, se hackers conseguirem as credenciais de apenas um funcionário com acesso ao sistema, ele teria acesso a todos os sites que também foram atacados.
“Houve um vazamento de credenciais de um administrador de redes que estão na nuvem. Com uma credencial é possível administrar qualquer ambiente. O Ministério da Saúde alegou DNS, mas foi algo mais sério do que um simples direcionamento”, argumenta Marcelo Nagy, professor convidado do Mackenzie e especialista em segurança da informação e compliance digital, que ainda diz que é necessário uma perícia para descobrir os motivos.
“O ponto mais vulnerável é o ser humano: usar as mesmas senhas. Não sabemos o que aconteceu porque as coisas não estão transparentes. Ou houve uma falha no site que guarda as credenciais ou descobriram usuário e senha de um funcionário desavisado”, diz Nagy.
Vulnerabilidade descoberta
A empresa de tecnologia americana LunaSec identificou na última semana uma vulnerabilidade no Apache Log4j, amplamente utilizado por muitos sites em todo o mundo. A descoberta gerou uma corrida de segurança digital, embora as atualizações de segurança (patches) já tenham corrigido o problema.
O próprio governo brasileiro emitiu na última sexta (10) um alerta sobre os riscos dessa fragilidade digital. No entanto, é pouco provável que esse problema tenha originado os ataques aos sites brasileiros.
“A vulnerabilidade do log não está relacionada ao último ataque. No dia seguinte (sábado, 11) já tinha uma correção para essa vulnerabilidade. É a vulnerabilidade mais séria dos últimos anos pois está em praticamente todos os sites, mas não foi a causa”, afirma Fiss.
O Ministério da Saúde alega que recuperou os dados que teriam sido sequestrados pelo grupo autodenominado Lapsus Group, mas não informou se negociou com os criminosos, pagou o resgate ou como recuperou as informações. Investigação preliminar da Polícia Federal apurou que os sistemas não teriam sido criptografados – não se sabe se o grupo hacker teve mesmo acesso aos dados.
Ataques cibernéticos são comuns e causam prejuízos enormes: neste ano, as perdas globais podem chegar a U$ 6 trilhões, segundo a consultoria alemã Roland Berger. Já a empresa Mz, de acordo com dados da Comissão de Valores Mobiliários (CVM), divulgou que ataques contra empresas brasileiras cresceram 200% no primeiro semestre deste ano em relação ao mesmo período do ano anterior. A Avast, gigante de segurança digital, disse que os ataques de ransomware (sequestro de dados) aumentaram 38% em todo o mundo neste ano em comparação a 2021 – número que chega a 92% no Brasil, quase o dobre de fraudes.
Dicas de segurança ao usuário de internet
1 – Atenção ao site em que você entra: notar se há alguma diferença no endereço da página, se há erros de português. Geralmente uma busca no Google leva ao site idôneo em caso de dúvida de um eventual site clonado;
2 – Senhas complexas e diferentes. Não é raro existir vazamento de senhas, então é essencial ter senhas distintas, sobretudo para serviços bancários ou informações confidenciais.
3 – Cuidado com phishing: evite clicar em links suspeitos em mensagens de-e-mail, WhatsApp, SMS e até de redes sociais. Cuidado também com pessoas conhecidas que pedem dinheiro ou informações confidenciais – na dúvida, ligue para a pessoa para confirmar.
4 – Cuidado com Wi-Fi público: prefira usar o 4G porque nunca se sabe quem pode estar conectado àquela rede.