A empresa de telecomunicações Claro sofreu um suposto acesso não autorizado na última segunda-feira (29). O resultado da alegada invasão envolveria o roubo de dados pessoais de 80 milhões de clientes, infraestrutura de nuvem Amazon AWS e diversas bases de dados da companhia.
O cibercriminoso invasor, conhecido como PacketSlut, venderia o acesso e os dados recolhidos por cerca de R$ 9 milhões em um fórum apropriado (30 mil XMR). Existem provas de entrada ao ambiente AWS da Claro, que fornece uma navegação em ambientes sensíveis, mas o TecMundo não recebeu provas aferíveis que demonstrem acesso aos dados de clientes.
“É mais como se alguém tivesse furtado esse cara, mas depois deixado a carteira na calçada e eu a encontrasse. Apenas pura sorte”, disse o invasor
Existem indicações de acesso não autorizado ao AWS, mas não recebemos provas aferíveis de acesso aos dados de clientes
O TecMundo entrou em contato com a Claro para entender o caso. Por exemplo, se o acesso não autorizado foi uma falha de empresa terceirizada (uma indicação presente nas imagens internas compartilhadas do ambiente AWS) e se, de fato, a alegação de que dados pessoais de clientes foram acessados existe. Até o momento, não recebemos uma resposta.
“Vendo: administração completa para uma grande empresa de telecomunicações da América Latina. Rede de nuvem, multirregião e escala massiva”, escreveu o invasor PacketSlut. “Não se trata apenas de alguns sistemas voltados ao público; trata-se de um comprometimento profundo da infraestrutura de nuvem interna. Estamos oferecendo uma chave de ouro para o coração de suas operações em nuvem, que lidam com vastos dados de clientes e fluxos de receita críticos para mais de 80 milhões de clientes, 39 mil funcionários e receitas superiores a US$ 9,7 bilhões”.
Para chamar atenção de compradores, o cibercriminoso deixa claro: “Esta é uma violação rara e totalmente verificada com vários vetores de persistência de valor alto — ideal para ransomware, exfiltração de dados ou espionagem de longo prazo”.
A oferta envolve os seguintes acessos:
Infraestrutura de nuvem: AWS, VMware, SSH, Admin APIBases de dados: Production PostgreSQL, DocumentDB, MongoDBCódigos: Git, repositórios DevOps e chavesArmazenamento: bucket S3 (logs, configurações e faturamentos)Sistemas: SonarQube, SQS e TerraformCredenciais: “todos os tipos”, expostas via Parameter StoreAmostra de acesso obtido
Emoção, fuga ou mentira?
O cibercriminoso PacketSlut deixou um contato no anúncio de venda. Por meio deste canal, conseguimos extrair informações sobre a ação. Nosso contato com cibercriminosos serve para entendermos o modus operandi realizado e possíveis mitigações futuras, além da possibilidade de encontrarmos um perfil de atacante.
Em seu texto de venda, é interessante notar que PacketSlut utiliza um linguajar mais complexo e demonstra ter um conhecimento amplo sobre como funcionam estruturas de nuvem. Ainda, o criminoso detalha possibilidades de novos golpes e ataques que podem ser feitos com os dados obtidos.
Contudo, em entrevista ao TecMundo, ele afirma algo diferente: “não sou um hacker especialista, nem ninguém com reputação nessa comunidade. Eu só tive sorte. Esta é minha primeira tentativa neste tipo de venda. Não tenho contato e não conheço os detalhes”.
A seguir, a entrevista na íntegra:
Amostra de acesso obtido
TecMundo: Você poderia ser mais claro sobre como conseguiu acesso?
PacketSlut: Basicamente, um dos funcionários mais experientes da TI foi descuidado com suas credenciais e segurança. Qualquer um poderia ter descoberto, como eu. Nada de zero-days ou hacks complicados. Sou apenas um cara solitário com seu laptop em outro continente que tropeçou em algo.
Nota da redação: dificilmente um cibercriminoso comenta ou indica sua localização durante entrevistas. Ao comentar que está em “outro continente”, soa como uma bola curva para tirar uma possível atenção de que ele seria brasileiro. Nossa conversa foi realizada em inglês.
TecMundo: Então não houve qualquer dificuldade para o acesso?
PacketSlut: “Não. É mais como se alguém tivesse furtado esse cara, mas depois deixado a carteira na calçada e eu a encontrasse. Apenas pura sorte”.
TecMundo: Vi que você está oferecendo isso por 30.000 XMR. Sinceramente, acho difícil alguém te pagar tudo isso. Você conseguiu vender alguma parte do que obteve?
PacketSlut: “Bem, obviamente isso não é mais o caso. Esta é minha primeira tentativa nesse tipo de venda. Não tenho contatos e não conheço os detalhes. Essencialmente, o que vem fácil, vai fácil. Honestamente, se a Claro tivesse algum tipo de programa de recompensa por bugs, eu provavelmente teria entrado em contato com eles”.
TecMundo: A preocupação primordial aqui é com os clientes. Quantos foram expostos?
PacketSlut: “Nada foi exposto. Nunca tive a chance. Os mais de 80 milhões de clientes estão seguros”.
TecMundo: Mas você não está vendendo os dados deles?
PacketSlut: “Eu não tenho. Eles fecharam os buracos. Eu nunca baixei qualquer dado de cliente”.
TecMundo: Mas você escreveu no fórum que compradores poderiam “lidar com quantidades massivas de dados de clientes”.
PacketSlut: “Eu apenas queria deixar isso para pessoas com mais conhecimento do que eu, caso eu tivesse vendido alguma coisa. Você está me tratando como um especialista experiente que sabe o que fazer, como se tivesse um guia, um passo a passo. Eu não sou e não sei o que fazer”.
TecMundo: Então você afirma que, de fato, esta é a sua primeira venda cibercriminosa?
PacketSlut: “Eu fiz o ChatGPT escrever os anúncios para mim. Eu não diria que isso é uma venda, é mais como um fracasso desastroso para mim. Eu confirmo que nunca fiz transações na dark web”.
“Chamei a atenção de todos e então bati em um poste telefônico (risos). Também não era algo que eu esperava. Uma coisa que posso dizer é que a Claro não parece ter alguém que se importe em verificar o que está sendo construído. O login (na AWS) mais recente foi 14 dias antes do meu. E antes disso, quase 6 meses”.
TecMundo: Lendo suas duas postagens, fica claro que você sabe, sim, o que está fazendo e não é um novato. Por exemplo, você parece um cara que sabe bem como navegar e espiar a AWS. Você até listou os buckets que existiam na conta. Eu te pergunto mais uma vez, você não vendeu dados de clientes ou não está vendendo acesso para eles?
PacketSlut: “Sou um cara inteligente, mas isso não significa que eu tenha experiência. Sou explorador e curioso por natureza. Posso confirmar com absoluta certeza que nenhum registro desse tipo foi vendido ou teve acesso. Mas as credenciais que encontrei na internet continuam lá e podem ser encontradas por qualquer outra pessoa. Na verdade, eu sou uma pessoa estúpida e crédula. Adeus. Tenho um longo histórico de ser explorado e de confiar em quem não deveria. Se você estava procurando o grande hacker malvado, ainda não o encontrou. Desculpe-me pela decepção”.
TecMundo: Não, não estou procurando por isso. Estou procurando uma resposta honesta sobre a venda.
PacketSlut: “Eu respondi com sinceridade. Sei que você não vai se importar nem confiar nisso”.
Após esta última mensagem, PacketSlut se negou a continuar respondendo.
É preciso notar que o discurso “não sei o que estou fazendo” soa enganoso, como se ele quisesse passar uma imagem que não é a realidade. Por exemplo, em uma de suas postagens, há até um plano de monetização que compradores em potencial podem realizar após a obtenção das chaves. Abaixo, um exemplo:
Potencial de uso dos dados ofertados
Como se proteger
O nosso trabalho é informar e deixar você pronto para entender o mundo digital ao seu redor. Agora, alguns cuidados para você melhorar a segurança da sua vida cibernética:
Desconfie de páginas e mensagens que chegam até você com ofertas, promoções ou informações incríveis (seja proativo, caso tenha dúvida, e busque canais oficiais);Mantenha um bom antivírus instalado no seu celular e computador (Avast, Kaspersky, ESET, MalwareBytes etc);Tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);Peça ajuda: se você tem dúvida sobre qualquer link ou mensagem, peça ajuda para outra pessoa que entenda mais sobre como a internet do que você;Mantenha seus apps e sistema operacional com a última atualização disponível, principalmente navegadores como Chrome, Edge, Firefox etcAcompanhe registros financeiros em seu nome pelo Registrato, do Banco CentralCheque senhas vazadas em Have I Been PwnedUtilize senhas longas (mais de 12 caracteres) e complexasAltere suas senhas a cada seis meses e não repita entre serviços
