sexta-feira, 5 de março de 2021

Hacker ameaça vazar dados pessoais da prefeitura de Saquarema (RJ)

 Grupo responsável pelo ransomware Avaddon ameaça divulgar dados pessoais de funcionários como CPF, endereço e tipo sanguíneo

Ataques de hackers vêm dando dores de cabeça ao redor do mundo, e nem mesmo a pequena cidade de Saquarema (RJ), com cerca de 90 mil habitantes, foi poupada disso. Um grupo de invasores ameaça divulgar arquivos obtidos do sistema municipal, incluindo dados pessoais de funcionários como CPF, endereço, telefone, PIS/PASEP e até tipo sanguíneo.

Notebook (Imagem: Flickr/Visual Content)

Notebook (Imagem: Flickr/Visual Content)

O que tem no vazamento de Saquarema?

Os invasores alegam ter acessado os servidores da prefeitura em 16 de fevereiro de 2021, extraindo um total de 35 GB. “Isso inclui informações pessoais, documentos financeiros e fiscais”, afirma ao Tecnoblog o grupo responsável pelo ransomware Avaddon.

Em 25 de fevereiro, eles deram um prazo de dez dias para que a prefeitura de Saquarema respondesse, o que aparentemente ainda não aconteceu – a página com a ameaça de vazamento ainda segue no ar nesta quinta-feira (4). O grupo está cobrando uma quantia em dinheiro para não expor os dados, sem revelar publicamente o valor.

Avaddon cobra para não vazar mais dados (Imagem: Reprodução)

Avaddon cobra para não vazar mais dados (Imagem: Reprodução)

“Damos 240 horas para nos contatar e cooperar conosco; se não fizerem isso antes desse prazo, pretendemos vazar todos os seus documentos e arquivos importantes, incluindo documentos financeiros, fiscais e de funcionários”, diz o aviso publicado no site do Avaddon na dark web.

Os hackers colocam uma amostra gratuita nesse site, que inclui contratos, decisões administrativas, boletos e planilhas de gastos. A parte mais preocupante é a ficha cadastral de um funcionário, que traz uma série de dados pessoais: nome completo, data de nascimento, CPF, RG, endereço, telefone, PIS/PASEP, título de eleitor, cargo, lotação e tipo sanguíneo.

Trecho de documento vazado com dados de funcionário (Imagem: Reprodução)

Trecho de documento vazado com dados de funcionário (Imagem: Reprodução)

A prefeitura de Saquarema tem um portal de transparência que conta com alguns dados presentes no vazamento – a discriminação de gastos municipais, por exemplo – porém em uma formatação diferente e com menos detalhes. Há uma área com o quadro de pessoal, mas ela está atualmente fora do ar; mesmo se funcionasse, ela certamente não poderia revelar tantas informações dos funcionários assim.

Em comunicado ao Tecnoblog, a prefeitura de Saquarema afirma que “adotou as medidas necessárias para a segurança e proteção do sistema informatizado e dos dados nele contidos”. Ela também diz que “o fato foi objeto de registro policial e as investigações estão a cargo da autoridade policial competente”.

Esse posicionamento veio pelo Messenger, através da conta oficial da prefeitura no Facebook. Nos últimos sete dias, também tentamos entrar em contato de outras formas, sem sucesso: ninguém atendeu o telefone, e os e-mails que enviamos voltaram porque a caixa de entrada está cheia. Também mandamos uma mensagem para um funcionário da Secretaria de Comunicação Social via LinkedIn, mas não obtivemos resposta. (O site do Avaddon, por sua vez, tem um formulário de contato e nos respondeu em algumas horas.)

Vazamento inclui detalhes sobre gastos públicos em formato diferente do portal de transparência (Imagem: Reprodução)

Vazamento inclui detalhes sobre gastos públicos em formato diferente do portal de transparência (Imagem: Reprodução)

LGPD também vale para órgãos públicos

LGPD (Lei Geral de Proteção de Dados Pessoais) estabelece, em um de seus primeiros artigos, que pode ser aplicada “a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado”. Ou seja, órgãos do governo também estão sujeitos a sanções em caso de exposição de informações pessoais.

Cabe à ANPD (Autoridade Nacional de Proteção de Dados) analisar esse tipo de incidente e decidir pela punição: entidades públicas ficam sujeitas a advertências e sanções administrativas, enquanto empresas também podem ser multadas em até 2% sobre o faturamento anual, limitado a R$ 50 milhões. Essas punições só poderão ser aplicadas a partir de agosto de 2021.

Ransomware virou negócio bilionário

O Avaddon é um ransomware, ou seja, um programa malicioso que criptografa todos os arquivos de um PC invadido e cobra um resgate para devolver acesso aos arquivos. Desde o ano passado, ele começou adotar a tática da extorsão dupla: se a pessoa não quiser os arquivos de volta – por ter um backup – eles ameaçam vazar tudo na internet, a menos que você faça um pagamento (geralmente em bitcoin).

O ransomware se tornou uma empreitada multibilionária, segundo um relatório da empresa de segurança Group-IB: ela detectou mais de 500 ataques desse tipo só em 2020, com valor médio de US$ 170 mil obtido por extorsão. O Avaddon é apenas um de vários tipos: há também o Maze, Egregor, Conti, entre outros.

                                                             FONTE:TECNOBLOG

Nenhum comentário: