31 de março é o Dia Mundial do Backup, data criada pela comunidade de segurança para conscientizar empresas e usuários sobre a importância de manter cópias de arquivos e cadastros, bem como a necessidade de redundâncias em caso de ataques cibernéticos ou problemas com dispositivos. Em um cenário em que os golpes, principalmente de ransomware, aumentam, tal ato ganhou ainda mais importância.
Na visão da Check Point Software Technologies, a ocorrência de um ataque digital contra uma empresa não é questão de possibilidade, mas sim, de tempo. De acordo com levantamentos de seus especialistas, 87% das empresas do mundo já sofreram algum tipo de ataque a partir de vulnerabilidade conhecida, enquanto casos como o vazamento dos dados de 223 milhões de brasileiros apenas evidenciam a necessidade de mais segurança e, também, a defasagem de alguns sistemas em operação.
Os especialistas relatam cinco reflexos de uma política ineficaz de backups, a começar pela paralisação das atividades. A perda de documentos, dados de clientes, contratos, aplicações e outros arquivos pode levar a uma interrupção dos trabalhos e falta de acessibilidade dos colaboradores aos sistemas, impedindo que a empresa continue a operar em um momento dos mais críticos.
Daí, também decorrem dois outros efeitos diretos: a redução de clientes, oriunda tanto da perda de informações quanto da própria interrupção; e também os danos à marca. Na visão dos especialistas, o decréscimo de informações e a necessidade de nova coleta deixa clara, para fornecedores, usuários e colaboradores, a política ineficiente de controle de informações de uma companhia, colocando a credibilidade da empresa em questão.
Todos estes aspectos também podem levar a prejuízos econômicos que podem ter diferentes origens. Eles podem surgir da interrupção das operações, da necessidade de retrabalho envolvendo a nova realização de contatos e coleta ou, simplesmente, da perda de clientes. Além disso, a Check Point ressalta que o processo de recuperação de informações comprometidas por um ataque de ransomware, por exemplo, pode ser oneroso, mas plenamente dispensável caso exista uma política de backups em funcionamento.
Por fim, entra o escrutínio de agências regulatórias e as multas e problemas jurídicos relacionados à Lei Geral de Proteção de Dados (LGPD), que também tem cláusulas técnicas relacionadas a cópias de segurança e armazenamento de dados de usuários por um determinado período. As sanções envolvem penalizações financeiras e fiscalizações que podem levar à descoberta de ainda mais irregularidades, aumentando ainda mais os danos à reputação e receita já citados anteriormente.
Para a Check Point, as iniciativas de segurança digital devem ir além, apenas, da mitigação de ataques, envolvendo também a preocupação com backups regulares como medida essencial. O ideal, afirmam os especialistas, é tomar todos os cuidados praticáveis para evitar a perda de dados e eventuais consequências de golpes, assim como garantir o funcionamento da estrutura e a continuidade dos trabalhos.
Que 2020 foi crítico para a cibersegurança, todo mundo já sabe, mas agora, números vêm para mostrar que o período foi um dos mais críticos em termos de vulnerabilidades e explorações maliciosas, apresentando um índice de brechas maior do que o total combinado dos últimos 15 anos. Foram mais de 300 explorações registradas no ano passado, um total que representa mais do que o dobro de um 2019 já alto demais para o gosto dos especialistas.
Os dados são da Canalys, que trabalha com análise de mercado, e também reportam o maior volume de registros comprometidos como fruto de ações criminosas. Em 2020, foram mais de 30 bilhões, também um número que representa mais do que o dobro do registrado em 2019, quando a onda de cibercrimes que vemos hoje começou a dar seus primeiros sinais, sendo amplificada no segundo trimestre do ano passado pela pandemia e a acelerada adoção do trabalho remoto.
Entretanto, os gastos com cibersegurança não cresceram na mesma medida. A Canalys aponta que esse foi o segmento cujo investimento apresentou maior aumento no mercado de TI, mas esse salto foi de apenas 10% em relação ao total empregado em 2019. Foram US$ 53 bilhões a mais colocados em departamentos de proteção ao longo de 2020, enquanto a grande frequência de relatos de golpes, sequestros de dados e comprometimentos mostram que o montante nem de longe foi suficiente.
Gráficos divulgados pela Canalys mostram o maior número de brechas de segurança desde 2005, com número de vazamentos que mais do que dobraram em relação a 2019 (Imagem: Divulgação/Canalys)
Segundo os números da consultoria, os ataques de ransomware permaneceram como os mais populares de 2020, com os hospitais sendo o setor mais atingido. A pesquisa, entretanto, volta seus olhos diretamente para as empresas que levaram suas operações para a nuvem e passaram a trabalhar por meio de acesso remoto, abrindo muitas portas para explorações maliciosas e roubo de preciosos dados que fazem a máquina do cibercrime continuar girando.
Prova disso é que, na medida em que os investimentos em segurança aumentaram 10%, o uso de serviços de cloud computing cresceu 33%, enquanto os gastos globais chegaram a US$ 142 bilhões, um salto de US$ 45 bilhões em relação ao montante registrado em 2019. Já o uso de softwares baseados na nuvem aumento 20%, um reflexo direto da adoção do teletrabalho como alternativa para que as companhias continuassem funcionando sem comprometer a segurança de seus colaboradores.
A Canalys vê esse fluxo como contínuo, mas também alerta para os riscos inerentes ao baixo investimento em segurança digital. A pesquisa fala em “extinção em massa” de negócios caso esse aspecto não seja levado a sério e o alto fluxo de ataques continue acontecendo, com perdas de confiança, falências e demais reflexos do cibercrime podendo comprometer até mesmo a retomada econômica dos países ao final da pandemia do novo coronavírus.
O estudo enxerga uma relação direta entre esses dois aspectos, associando de forma objetiva o que chama de “lapso de foco” em cibersegurança com o crescimento de uma “crise de brecha de dados”. O aumento nos casos de ransomware e o maior número de vazamentos de informação são reflexos diretos do baixo investimento em proteção, citado pela Canalys como o caminho para um crescimento saudável da economia digital e, também, da fixação dos regimes remotos como alternativa mesmo para o pós-pandemia.
Comitê Gestor do Simples Nacional aprovou a Resolução CGSN nº 159/2021 que prorroga para dia 31 de maio o prazo para apresentação da Defis.
Em função dos impactos da pandemia da Covid-19, o Comitê Gestor do Simples Nacional (CGSN) aprovou a Resolução CGSN nº 159, de 29 de março de 2021, que prorroga para o dia 31 de maio de 2021 o prazo para apresentação da Declaração de Informações Socioeconômicas e Fiscais (Defis), referente ao ano-calendário 2020.
A prorrogação não se aplica à declaração mensal realizada por meio do PGDAS-D, cujo prazo de entrega está previsto no art. 18, § 15-A da LC n° 123 de 14 de dezembro de 2006, sujeitando-se a multa por atraso na entrega da declaração nos termos do art. 38-A.
A medida, que tem por objetivo diminuir os impactos econômicos causados pela pandemia do Covid-19 no Brasil, beneficia 5.327.347 optantes pelo Simples Nacional em 31/12/2020 (Fonte: Estatísticas do Portal do Simples Nacional) .
A entrega da Defis deve ser feita pelo site do Simples Nacional, com código de acesso ou certificado digital, e deve ser enviada mesmo que a empresa esteja inativa.
De acordo com informações inéditas divulgadas pela empresa ISH Tecnologia, um novo malware do tipo password stealer (ladrão de passwords) já roubou mais de 900 mil senhas de internautas brasileiros através de uma campanha de phishing direcionado. A companhia descobriu a ameaça graças ao uso de sua plataforma Mantis, que rastreia a internet (tanto a surface quanto a dark web) em busca de informações sensíveis vazadas de seus clientes.
Durante uma dessas varreduras, os pesquisadores identificaram um arquivo de texto simples pesando 1,2 GB com mais de 900 mil senhas diferentes capturadas; ao falarmos sobre o número absoluto de pessoas vitimadas, a estimativa fica na casa das 500 mil. O trojan se espalha disfarçado como um suposto boleto atrasado, em formato PDF, geralmente com o golpista personificando grandes operadoras de telefonia móvel.
“O Mantis será lançado oficialmente no dia 2 de abril, mas já operamos em alguns clientes em formato de testes há três meses, o que nos possibilitou esta importante descoberta de um arquivo com 1,2GB, o que significa aproximadamente 900 mil senhas vazadas”, explica Rodrigo Dessaune, CEO da companhia. O internauta “curioso” que baixar o tal boleto será infectado imediatamente.
Uma vez tendo se instalado no computador, o password stealerroubará todas as senhas salvas no autopreenchimento dos navegadores do PC e enviará esses dados para o servidor do criminoso. Dentre as vítimas, a ISH destaca servidores públicos de órgãos estaduais e federais, além de colaboradores de empresas privadas dos setores financeiros, varejo, indústrias e outros.
“É importante ressaltar que esta campanha ainda está ativa, e que estes números devem se multiplicar nos próximos dias. Ataques baseados em engenharia social crescem a cada dia, por isso toda cautela é necessária com dados sensíveis. Antes de clicar em algum link suspeito, as pessoas devem avaliar a fonte”, finaliza o executivo. Isto posto, caso receba algum “boleto atrasado”, confira diretamente com a instituição em si antes de baixar o arquivo.
Sistema foi atualizado para possibilitar a entrega da declaração já a partir do período de apuração 03/2021 para as empresas que tiveram o pedido deferido.
O governo federal anunciou que as empresas que optaram pela adesão antecipada à Declaração de Débitos e Créditos Tributários Federais Previdenciários e de Outras Entidades e Fundos (DCTFWeb), no período de 1° a 19 de fevereiro de 2021, e tiveram o pedido deferido, conforme mensagem enviada para caixa postal do contribuinte no Portal e-CAC, já podem transmitir a declaração a partir do período de apuração 03/2021.
Segundo o governo, o sistema foi atualizado, de maneira a possibilitar a entrega da declaração por esse grupo de pessoas jurídicas.
Aquelas que não aderiram à entrega antecipada, ou tiveram o pedido indeferido, estarão obrigadas ao envio da DCTFWeb apenas a partir do período de apuração 07/2021.
Para as empresas obrigadas à transmissão da DCTFWeb, os recolhimentos das contribuições previdenciárias devem ser feitos por meio de Documento de Arrecadação de Receitas Federais (Darf) emitido pela própria DCTFWeb, disponível após a transmissão.
DCTFWeb
A DCTFWeb foi instituída por meio da Instrução Normativa RFB nº 1.787/2018 e veio para substituir a GFIP (Guia de Recolhimento do FGTS e de Informações à Previdência Social), no ambiente do eSocial.
É uma declaração que busca relatar à Receita Federal as contribuições previdenciárias feitas a terceiros, além de consolidar as informações prestadas no eSocial e na EFD-Reinf.
Devem entregar a declaração Pessoas Jurídicas de Direito Privado em geral e as equiparadas a empresa; Unidades Gestoras de orçamento; Consórcios; entidades de fiscalização do exercício profissional; fundos especiais dotados de personalidade jurídica sob a forma de autarquia; aqueles que forem obrigados à entrega do eSocial e/ou da EFDREINF.
Regime se aplica na condição de Simples Nacional tanto na condição de substituto quanto na condição de substituído.
As empresas que são optantes do Simples Nacionaltambém estão obrigadas a fazer a retenção e recolhimento doICMSdeST,observadas algumas exceções.
Significa dizer que o regime também se aplica às empresas optantes pelo Simples Nacional, tanto na condição de substituto quanto na condição de substituído.
As empresas fazem o pagamento no Simples a partir de um documento único (DAS - Documento de Arrecadação do Simples Nacional) , onde são reunidos os impostos e contribuições amparados pelo Simples.
Já o imposto retido a título de Substituição Tributária será recolhido em uma guia à parte de forma separada, com o documento de arrecadação de cada estado, ou se for o caso através de GNRE (Guia Nacional de recolhimentos estaduais). Desta forma, os optantes também devem ficar atento às regras e mercadorias que estão sujeitas ao regime de ST.
Na ferramenta de ST você poderá identificar quais as operações em que os Optantes pelo Simples estão amparados para recolher e não recolher o ICMS de ST – Escala industrial não relevante - e as possíveis aplicações de benefícios fiscais aos optantes.
Atenção: As empresas optantes pelo Simples são as que mais pagam impostos indevidos por falta de informação e controle interno, inclusive com a não separação das receitas dos produtos sujeitos a ST.
A Acer está vivendo dias complicados. Uma das maiores fabricantes de PCs sofreu um poderoso ataque de ransomware feito pelo grupo Hacker REvil, que afetou a rede back-office da empresa. Para interromper essa invasão e devolver os dados obtidos, os criminosos estão solicitando um módico resgate de R$ 50 milhões.
De acordo com a fabricante, esse ataque não é considerado perigoso o suficiente para interromper suas operações, mas os criminosos prometem ir além se o resgate não for pago; eles querem divulgar todos os dados e criptografia das máquinas invadidas.
O portal The Record fez todo o caminho atrás dos cibercrimonosos e de seus pedidos de resgate. Com a ajuda de Marcelo Rivero, analista de inteligência de malware da Malwarebytes, a publicação conseguiu rastrear o outro portal dark web operado pelo grupo REvil. Lá, os golpistas direcionam as vítimas do ataque para as negociações de pagamento de resgate.
Por mais que o grupo REvil ainda não tivesse vazado tudo na dark web, já existem algumas imagens de documentos de back-office da Acer circulando pela internet, bem como os pedidos de resgate recebidos pela fabricante taiwanesa.
A Acer, por meio de um porta-voz, minimizou os ataques e não confirmou se eles partiram de um ransomware.
Atualização do programa EFD Contribuições é obrigatório para os fatos geradores a partir de 01 de abril.
A Receita Federal disponibilizou a versão 5.0.0 do programa da EFD Contribuições para download. A atualização é de uso obrigatório para os fatos geradores a partir de 01 de abril de 2021.
Além de correções de erros detectados pelos contribuintes e pela equipe da RFB, foram efetuados ajustes pontuais em regras de validação, em especial:
- Regras de validação relativas às operações de Sociedades em Conta de Participação (SCP), conforme nota divulgada no portal da EFD-Contribuições; - Inclusão da chave da nota fiscal eletrônica na chave do registro C100; - Ajustes no registro D100 para facilitar a recepção de documentos emitidos na forma do Ajuste Sinief 37/2019 (Regime Especial da Nota Fiscal Fácil – NFF); - Correção de erro quanto à possibilidade de desconto de créditos do bloco M e bloco 1 no caso de contribuição apurada por substituição tributária nas vendas para Zona Franca de Manaus (COD_CONT = 32).
Não foram criados novos registros e/ou campos além dos atualmente previstos no leiaute 006 (janeiro de 2020). Dessa forma, os arquivos dos períodos iguais ou posteriores a abril de 2021 continuarão utilizando a versão de leiaute “006” no campo 02 – COD_VER do registro 0000.
Orientações EFD Contribuições
As versões 4.0.0, 4.0.1, 4.0.2, 4.1.0 e 4.1.1 poderão ser utilizadas para transmissões de períodos de apuração anteriores a abril/2021 até a data de 31/03/2021. Após esta data, todas validações/transmissões deverão ser realizadas através da versão 5.0.0.
Recomenda-se realizar a Cópia de Segurança de todas as escriturações contidas na base de dados, antes de instalar uma nova versão do sistema. Também é possível efetuar a nova instalação em pasta distinta da atual. Neste último caso, as escriturações já registradas não serão acessíveis diretamente pela nova versão do sistema, sendo necessário efetuar o acesso através da pasta de instalação antiga.
O Canaltech recebeu, com exclusividade, na noite do dia 4 de março, a informação de que a Alterdata, tradicional empresa brasileira fornecedora de soluções de software, foi vítima de um ataque cibernético. Uma fonte anônima nos enviou o comunicado oficial assinado pelo CEO da companhia, Ladmir Carvalho, aos clientes que estão com suas operações paralisadas por conta do incidente
Uma rápida análise pericial nos metadados do documento prova sua autenticidade, visto que ele foi gerado por um funcionário da Alterdata — cujo nome não revelaremos — através do software Microsoft Word 2003. No comunicado, Ladmir afirma que o ciberataque ocorreu na madrugada do dia 1º de março, com os atacantes conseguindo invadir parte do ambiente em nuvem e derrubar um grupo de consumidores. A Alterdata tem mais de 50 mil clientes.
“Desde esta data estamos trabalhando pesado para blindar e recompor os ambientes danificados, o que está dando muito trabalho, a ponto dos grupos de trabalho estarem viram madrugadas na recuperação dos clientes. Sabemos dos transtornos que isso está causando em nossos clientes, até porque muitos prestam serviços para outros clientes, trazendo um inconveniente em cascata”, explica Ladmir.
“Com isso, a vida na Alterdata tornou-se um absoluto inferno, pois apesar de apenas um pequeno grupo ter sido afetado estamos com clientes fora do ar desde o dia do ataque, sendo que estes clientes não deram causa a isso, não são responsáveis por esta situação. Apesar de não ter havido qualquer perda de dados ou vazamento de informações, estamos tendo que levantar todo o ambiente de cloud, o que não é tão ágil quanto gostaríamos”, diz.
O comunicado informa ainda que foi contratada uma “consultoria de profissionais de cybersegurança com larga experiência em situações semelhantes” para rastrear, bloquear e blindar a empresa de novas investidas, já que foi impossível determinar se o ataque partiu de um agente externo, de um colaborador ou um robô.
“Lamentamos muito o que está acontecendo com a sua empresa, estamos trabalhando de forma insana para minimizar os impactos sofridos, e queremos garantir que arcaremos com os possíveis custos de juros em tributos e taxas atrasadas por não uso dos sistemas”, finaliza Ladmir.
Mais um ataque à cadeia de suprimentos?
Como já citamos, a Alterdata é uma empresa de grande porte, fundada em 1989, com 1,8 mil colaboradores e cerca de 53 mil clientes ativos, incluindo marcas respeitadas como Faber-Castell, Cyclone, Rádio Mix FM, Michelin, Unimed, Universal Music Group e Centro Universitário do Distrito Federal (UDF).
Ela fornece soluções para a área de contabilidade, ferramentas para o setor imobiliário, um gateway de pagamentos e ERPs (sistemas integrados de gestão empresarial).
O Canaltech tem motivos para acreditar que, diferente do afirmado por Ladmir, houve, de fato, um vazamento de informações. Isso porque a fonte que nos enviou o documento usou como “assunto” do e-mail a frase “leak is loading”, que pode ser traduzida como “o vazamento está sendo carregado”. O Canaltech tentou contato posterior com a fonte e também com a Alterdata, não recebendo respostas até o fechamento desta matéria.
O incidente tem tudo para se tornar mais um caso de ataque à cadeia de suprimentos, tal como ocorreu no exterior recentemente com a SolarWinds e a Accellion. Se os criminosos, de fato, tiveram a capacidade de invadir o ambiente cloud da Alterdata, existe a possibilidade de que eles também foram capazes de comprometer os ambientes de seus clientes, criando assim uma exposição em cascata.
Histórico de incidentes
É interessante notar que este não é o primeiro incidente cibernético sofrido pela Alterdata em 2021. Em uma postagem pública em seu próprio perfil do LinkedIn, Ladmir admitiu, em 25 de janeiro deste ano, que a companhia foi alvo de cibercriminosos. “Dos 53 mil clientes e quase 5 mil servidores, da empresa, o ataque afetou 600 desses servidores, deixando o nosso serviço de nuvem inacessível para centenas de clientes”, explicou o executivo.
Conversando com o Canaltech por telefone, Ladmir garantiu que o novo incidente afetou uma parcela “muito pequena” de clientes e não quis emitir um pronunciamento oficial para a mídia.
Por mais que a população brasileira esteja preocupada com o crescente número de vazamentos de informações, é importante lembrar que o escopo da Lei Geral de Proteção de Dados vai muito além disso e também engloba usos indevidos de dados pessoais dentro da própria empresa responsável por realizar o tratamento.
Já noticiamos um caso que se encaixa nesse problema, e, agora, o Canaltech recebeu outra denúncia.Desta vez, o problema estaria na operadora Claro, que possivelmente está compartilhando informações cadastrais de seus clientes com vendedores terceirizados sem a sua devida autorização. Esses vendedores são pessoas físicas (muitas vezes trabalhando de forma informal, com um número de telefone próprio e sem o devido preparo para lidar com a clientela) e que recebem comissões ao realizar vendas de planos “por fora”.
Tudo começou quando a fonte — que preferiu se manter no anonimato — realizou o procedimento para a contratação de um plano de internet banda larga para a empresa de seu padrasto. A contração foi efetuada com sucesso através do site oficial da operadora e de sua central de atendimento, gerando, inclusive, um protocolo com dias e horários sugeridos para que o técnico realizasse a instalação.
O problema é que, no dia seguinte, os consumidores foram abordados por um vendedor afirmando que o plano escolhido (de 140 MB) não estava disponível para a região desejada, oferecendo um upgrade para um plano mais caro e com capacidade para 240 MB. O “vendedor” utilizou um número de telefone pessoal, com o DDD 19 (região de Campinas, em São Paulo). Detalhe: nossa fonte reside na região de Goiânia.
“Ele também nos chamou no WhatsApp, e era uma conta não-autenticada. A pessoa escrevia de forma inapropriada e começou a pedir os documentos da casa e da empresa para confirmar os dados”, explica. “Liguei no SAC da Claro e, ao mesmo tempo, recebi outro e-mail confirmando a data e horário da instalação do novo plano. Relatei o incidente ao atendente, e ele verificou que o pedido original havia substituído pelo novo”, complementa.
Por mais que o atendente do SAC tenha garantido que a Claro não atue dessa forma, ele confessou que esse tipo de problema é “recorrente”; ficou claro para a fonte que quem lhe abordou foi uma revendedora externa, que capta os dados de futuros clientes da operadora, oferece planos mais caros e faturam em cima dessa nova contratação. Visto que a ouvidoria não foi capaz de atendê-lo, ele precisou cancelar o segundo plano direto com a revenda — mesmo assim, ela possivelmente foi comissionada.
Situação comum
Embora a nossa fonte tenha sido a primeira a efetivamente reclamar dessas situações, vale a pena uma observação interessante. Uma rápida pesquisa em sites de compra e venda online revela centenas de anúncios de planos de banda larga, não apenas da operadora Claro, mas também de outras fornecedoras de internet. Ao entrar em contato com tais anunciantes, eles oferecem condições de pagamento bem mais atraentes do que aquelas que contam nos sites oficiais das instituições.
Para fins jornalísticos, o Canaltech abordou uma dessas anunciantes; demonstramos interesse em um plano de internet residencial. Após conferir alguns dados cadastrais e checar a disponibilidade de cobertura no CEP informado, a “vendedora” informou que receberíamos uma ligação dentro de poucos minutos e que deveríamos informar exatamente os mesmos dados repassados pela plataforma Messenger; isso de fato aconteceu, e a interlocutora só precisou confirmar as informações.
O que diz a lei?
“Supondo que tenha havido, de fato, um compartilhamento indevido de dados do consumidor, a Claro estaria sujeita às sanções administrativas previstas na LGPD, em seu art. 52, sem prejuízo de eventuais sanções decorrentes da própria relação de consumo entre as partes, previstas no Código de Defesa do Consumidor”, nos explica Daniela Cunha Machado, advogada de Propriedade Intelectual e Proteção de Dados do escritório Salusse, Marangoni, Parente, Jabur Advogados.
“Nesse sentido, é importante lembrar que, ainda que o capítulo que trata das sanções da LGPD ainda não esteja em vigor, muitas empresas vêm sendo responsabilizadas pelo tratamento indevido de dados por meio de outros instrumentos jurídicos e enfrentando, além de prejuízos financeiros, danos reputacionais que, muitas vezes, são inestimáveis”, continua Daniela, lembrando o titular possui direitos de acesso, informação, eliminação e consulta sobre com quais instituições (ou pessoas físicas) os seus dados são compartilhados.
“É dever das empresas fornecer as informações solicitadas e atender a esses direitos em um prazo razoável, que em alguns casos pode ser de até quinze dias. O titular que não tiver os seus direitos respeitados poderá buscar reparação na esfera judicial, o que não isentará a empresa das sanções administrativas a serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD)”, conclui a especialista.
O que a Claro tem a dizer?
Procurada pelo Canaltech, a operadora enviou o seguinte posicionamento: “A Claro informa que está investigando o relato descrito pela reportagem e, caso seja confirmado, irá adotar as providências necessárias para prevenção”.
Uma falha de segurança está expondo os bancos de dados internos e, potencialmente, informações pessoais de alunos, candidatos a concursos, professores, funcionários e demais servidores da Unioeste, uma das principais instituições estaduais de ensino superior do Paraná. A brecha que permite acesso a informações internas também permite a visualização de documentos de diferentes setores da instituição de ensino e pode incluir, também, dados financeiros de pessoas registradas junto à organização.
A vulnerabilidade é do tipo SQL Injection, que permite a um atacante inserir instruções indevidas aos servidores a partir de uma consulta ao banco de dados, obtendo, assim, dados eventualmente sigilosos ou que não deveriam estar acessíveis ao público. Mais especificamente, a brecha se encontra em um sistema voltado a alunos e servidores da Unioeste, que acaba revelando endereços de pastas na infraestrutura interna da instituição a partir da inserção de caracteres que não são reconhecidos pelo sistema.
A falha foi revelada ao Canaltech por Giovanni Zadinello, pesquisador em segurança da GZ Segurança. Segundo ele, a exposição de alto risco permite o acesso a 156 bancos de dados da universidade, cada um deles correspondendo a um serviço ou sistema diferente da Unioeste. De acordo com a análise do especialista, seriam mais de 500 GB de informações presentes nos servidores.
Apenas visualizando os títulos dos bancos de dados disponíveis, é possível ter uma dimensão do que está disponível. Além de dados de alunos e do corpo docente da Unioeste, os servidores parecem conter informações sobre diferentes vestibulares e concursos realizados pela instituição, incluindo aqueles para prefeituras de cidades como Toledo e Cascavel, no interior do Paraná, além de provas relacionadas à residência médica nos hospitais da universidade. Dados de eventos e auditorias internas, assim como informações sobre patrimônio, bibliotecas e sistemas de transporte.
Zadinello fala, ainda, em uma possível exposição de credenciais de acesso, com e-mails e senhas de alunos e funcionários presentes de forma descriptografada. “Em minha experiência, nunca vi algo tão crítico e com tanta informação [disponível]”, explicou o pesquisador. Ele pondera, entretanto, que vulnerabilidades do tipo SQL Injection são comuns, apesar de, neste caso, apresentarem gravidade muito maior pela possível exposição de informações sensíveis de indivíduos e da própria universidade. “Com a falha, seria possível baixar todas essas informações e realizar ataques de engenharia social e outros tipos de ataques.”
Daniel Cunha Barbosa, especialista em segurança da informação da ESET no Brasil, reitera o perigo envolvendo aberturas desse tipo, que permitem a visualização indevida do conteúdo de bancos de dados que deveriam permanecer fechados. “[O volume] contém informações sensíveis, que podem identificar um indivíduo e gerar complicações adicionais para a própria instituição”, afirma.
O especialista indica, por exemplo, que a presença de bancos de dados relacionados a concursos podm expor informações como nomes completos, CPFs, RGs e estado civil, assim como nacionalidade e etnia dos participantes. Merece atenção especial, ainda, dados referentes aos departamentos financeiros da instituição, especialmente um banco de dados intitulado “cartoesCC”, que pode incluir dados bancários de indivíduos.
A brecha foi denunciada ao Canaltech em 4 de fevereiro e comunicada à Unioeste no dia 8 do mesmo mês. Os dados não foram acessados pela reportagem ou especialistas envolvidos na análise, como forma de evitar mais exposições das informações disponíveis. Não é possível saber desde quando a brecha está disponível ou se já foi explorada de forma maliciosa.
Unioeste confirma falha, mas ainda não fala sobre correção
Em resposta, a Unioeste confirmou a existência de uma falha de segurança, mas afirmou que ela não corresponde à natureza do que foi alertado nem pode ser explorada dessa maneira. Segundo porta-voz da instituição, os logins e senhas dos usuários são armazenados em outro sistema, não nos bancos de dados expostos, e nunca em texto simples, mas sim em hashes criptografados.
Além disso, de acordo com a universidade, as páginas vulneráveis possuem limitações que entregam quatro conjuntos de dados por vez, o que dificultaria um download massivo das informações contidas nos bancos. O comunicado, enviado no dia 8 de fevereiro, afirma ainda que as equipes de infraestrutura e desenvolvimento da Unioeste estão analisando a questão e possíveis obtenções dos dados.
Por outro lado, a Unioeste não respondeu a sucessivos contatos sobre uma previsão de solução da vulnerabilidade, que somente foi corrigida em 16 de março. Segundo Zadinello, a página que dá acesso aos sistemas da universidade segue exibindo parâmetros e links relacionados ao banco de dados da instituição, mas as requisições de acesso e possível download dos dados são bloqueadas. A reportagem segue aguardando um retorno.
Recomendação para cadastrados é de cautela
Ainda que não existam indícios e informações sobre possíveis exposições ou explorações dos dados disponíveis, a recomendação é de cautela a alunos, servidores e demais cadastrados em vestibulares e concursos da Unioeste. “Proteção e conscientização são ótimos caminhos. Os usuários [precisam estar] cientes de que criminosos podem tentar abordagens por telefones, e-mail ou mensagens de texto”, explica Barbosa.
Além dos cuidados a serem tomados pelos próprios usuários, o especialista sugere a expiração da senha de todos os usuários como medida, com o envio de links de redefinição por e-mail de forma que as contas sejam protegidas de acessos não-autorizados. Os eventualmente atingidos devem ser notificados sobre a vulnerabilidade, principalmente se a exposição efetivamente incluir dados identificadores ou financeiros, e vale ainda aplicar medidas predefinidas de consultas ao banco de dados e configurações adequadas no tratamento de solicitações para que brechas do tipo SQL Injection não possam ser exploradas maliciosamente.