Siga o Xataka Brasil no Google Discover!
Tendências do dia

Eles não precisam invadir nada: hackers descobriram a palavra mágica que faz empresas de tecnologia entregarem dados voluntariamente

Elas não param de cair no mesmo golpe

Hacker | Fonte: Getty Images
Sem comentários Facebook Twitter Flipboard E-mail
vika-rosa

Vika Rosa

Redatora
vika-rosa

Vika Rosa

Redatora

Jornalista com mais de 5 anos de experiência, cobrindo os mais diversos temas. Apaixonada por ciência, tecnologia e games.


Linkedin instagram
104 publicaciones de Vika Rosa

Em vez de complexos ataques de malware, um grupo organizado de hackers descobriu uma tática de engenharia social incrivelmente eficaz: falsificar solicitações de emergência policial. Este método simples, mas devastador, tem levado grandes empresas de tecnologia, como a Apple, Amazon e Charter Communications, a entregar voluntariamente dados pessoais de usuários.

O grupo, especializado em "doxing como serviço" (venda de informações pessoais), explora a única vulnerabilidade que o sistema não consegue ignorar: a urgência de uma ameaça à vida.

Vulnerabilidade no "alerta de emergência"

Nos Estados Unidos, as agências policiais podem enviar "Solicitações de Dados de Emergência" (EDRs, na sigla em inglês) quando há risco iminente à vida. Diferentemente de intimações ou mandados judiciais, que levam dias para serem processados, os EDRs contornam a verificação de rotina e exigem uma resposta imediata das empresas.

Hackers como o autodenominado "Exempt" exploram essa pressa, usando técnicas sofisticadas de personificação:

  • Falsificação de domínio: eles registram domínios de e-mail quase idênticos aos legítimos de departamentos de xerifes.
  • Engenharia social: utilizam nomes, números de distintivo e citações legais copiadas de policiais e documentos reais para dar credibilidade à fraude.
Segurança em primeiro lugar: como o Google Workspace protege seus dados de negócios na nuvem (e para quem a criptografia é ideal)
Em Xataka Brasil
Segurança em primeiro lugar: como o Google Workspace protege seus dados de negócios na nuvem (e para quem a criptografia é ideal)

Em um caso, um e-mail falso de um policial da Flórida levou a Charter Communications a fornecer dados completos de um usuário em menos de 20 minutos. Um membro do grupo alegou ter executado até 500 solicitações desse tipo e faturado mais de US$ 18.000 em um único mês.

Falha sistêmica de empresas

O sucesso dos hackers aponta para uma falha sistêmica, facilitada pela inconsistência na infraestrutura de comunicação das cerca de 18.000 agências de segurança pública dos EUA, que usam diferentes domínios (.gov, .org, .com).

Além disso, muitas empresas de tecnologia ainda aceitam EDRs por e-mail e, ironicamente, algumas chegam a publicar guias detalhados para o envio dessas solicitações de emergência, fornecendo um roteiro para os atacantes. Evidências sugerem que a Apple e a Amazon responderam a solicitações falsas, entregando dados de contas do iCloud, endereços e números de telefone.

Empresas como a Kodex tentam resolver isso com portais seguros que usam listas de permissão e monitoramento comportamental para verificar a autenticidade das solicitações, mas até mesmo essas plataformas já foram exploradas por contas policiais comprometidas. 

No fim, empresas que deveriam proteger os dados, acabam os comprometendo e sendo agentes ativos em crimes cibernéticos. Resta esperar que busquem melhorar seus sistemas de segurança e que os usuários busquem os meios legais para reduzir quaisquer danos e, claro, também procurem por compensações.

Assuntos

Ver 0 Comentários

Voltar ao topo

Edições internacionais

Informações

Inicio