Um líder notável da indústria da tecnologia da China sugeriu que o erro humano foi a causa mais provável para que hackers tivessem acesso aos dados pessoais de 1 bilhão de pessoas da China de um banco de dados da polícia de Xangai e os vendessem em mercados ilegais na web.
Um funcionário governamental postou em seu blog na Rede de Desenvolvedores de Software da China (CSDN) um conteúdo que acidentalmente continha as credenciais para o armazenamento de dados. Zhao Changpeng, o CEO da Exchange de Criptomoedas Binance, compartilhou isso no Twitter na segunda-feira. CSDN é uma das maiores redes de desenvolvedores da China.
Changpeng, conhecido informalmente e no Twitter como “CZ”, mencionou que a exploração ocorreu devido ao fato de o criador do governo ter publicado um post de tecnologia em CSDN que acidentalmente incluiu as credenciais. Ele acompanhou o tweet com uma imagem do código malicioso que foi incluído no post do blog.
Anteriormente, Changpeng twittou que a equipe de Inteligência de Ameaça de sua empresa detectou um bilhão de registros de usuários chineses à venda na darknet, citando como responsável por tal vazamento “uma falha em uma implementação do ElasticSearch por parte de uma agência governamental”. Em resposta a esta violação, Binance aumentou sua verificação de usuário, informou.
Nas últimas notícias, o hacker ou grupo de hackers identificado pela alcunha “ChinaDan” vendeu no Breach Forums, um conhecido fórum de cibercrime, uma quantidade de 23 terabytes de informações roubadas de cidadãos chineses, incluindo nomes, endereços, locais de nascimento, identidades nacionais, números de telefone e detalhes de casos criminais. Eles pediam 10 bitcoins, ou cerca de 200.000 dólares, pelo cache de dados.
Fontes diversas comprovando que os dados são válidos, fez com que o boato se espalhasse rapidamente pela área da segurança cibernética, com especialistas considerando-o como uma das maiores violações já registradas não só pela história do país, mas também pelo mundo.
Se o Chinadan estiver contando a verdade, isso será uma das piores violações de dados da história, e foi provocada por falhas de administração de senhas”, afirmou Josh Stahl, chefe de operações de segurança da BreachQuest, uma empresa de gerenciamento de incidentes de segurança, em um e-mail para Threatpost.
O único benefício, se houver algum, é que a raiz da invasão não implica “um novo tipo de exploração ou vírus malicioso, mas sim uma simples falha na gestão de credenciais”, comentou.
Erro cometido pelo ser humano durante o jogo
Na realidade, a violação vem trazendo à tona a questão de segurança mais presente desde o surgimento dos computadores e da internet – o erro humano. O Relatório sobre Violações de Dados da Verizon para 2022 (DBIR) menciona o “fator humano” como responsável por 82% das violações estudadas, sendo 13% diretamente atribuídos a erro humano.
Agora que aqueles encarregados de gerenciar informações confidenciais não são mais de confiança para salvaguardar os dados, o incidente evidencia que as empresas têm de adotar várias medidas além de sistemas de autenticação que armazenam dados para assegurar que eles não caiam nas mãos erradas, destacou um especialista em segurança.
O resultado final desta falha completa na aplicação de gerenciamento de senhas e gerenciamento de segredos foi cataclísmico, de acordo com o CTO e co-fundador na Keeper Security, Craig Lurey, em uma comunicação por correio eletrônico para Threatpost. Segredos, tais como informações confidenciais de bancos, nunca devem ser codificados em código-fonte, o que contribuiu para o ocorrido.
Ele sugeriu que os gerentes de senha corporativa permitissem às organizações estabelecer um controle de acesso rigoroso e pensado (RBAC), juntamente com acesso privilegiado à infraestrutura, para proteger informações e detalhes confidenciais.
Um profissional de segurança recomendou que as empresas estabeleçam uma estrutura de detecção e defesa em camadas para prevenir que o erro humano resulte em vazamentos de informações que podem ser desastrosos.
Mumcuoglu, CEO e cofundador da CardinalOps, destacou a necessidade de as organizações estabelecerem processos eficientes para identificar, classificar e resolver de forma contínua eventuais falhas em seus monitoramentos de segurança e identificação de ameaças, a fim de detectar qualquer atividade anormal, segundo um e-mail enviado à Threatpost.
Girando a página
O acontecimento provoca mudanças na China, um país famoso por ser um dos principais praticantes de cibercrime-estado e de outras espécies.
A China costuma ser vista como o responsável pela maioria dos casos de cibercrime, ao invés de ser a vítima desse tipo de crime. No entanto, devido à falta de transparência dos mecanismos de relatórios sobre cibercrime na China, torna-se difícil determinar com que frequência os próprios cidadãos do país são alvo desse tipo de delito, segundo especialistas.
Apesar de o governo deste país coletar abundantes dados sobre seus cidadãos, ele também estabelece limites restritivos ao que eles têm acesso na internet. Portanto, não é surpresa que algumas dessas informações sejam usadas pelos criminosos.
Já há casos de vazamento de dados de famosos que colocam os dados particulares dos cidadãos chineses em evidência. Por exemplo, em 2020, informações confidenciais de cerca de 2 milhões de membros do Partido Comunista Chinês (CPC) vazaram, contendo registros oficiais, além de dados ligados às suas atividades em organizações internacionais.
Até o momento, as autoridades de Xangai não disseram nada publicamente sobre a última violação de dados, e não estão respondendo às solicitações de comentários, de acordo com os relatos.
Registre-se agora para este EVENTO AO VIVO na segunda-feira, 11 de julho: Junte-se a Threatpost e Tom Garrison da Intel Security em uma discussão em tempo real sobre inovação, permitindo que os interessados fiquem à frente de um ambiente de ameaças variável e o que a Intel Security aprendeu com sua última pesquisa em parceria com a Ponemon Institute. Os participantes do evento são encorajados a ler o relatório e fazer perguntas durante a conversa ao vivo. Saiba mais e cadastre-se.
Revise e divulgue este artigo.
- Privacidade é um direito básico de todos os indivíduos.