Ciberataque a seguradora mostra como nossos dados estão expostos

Não está sendo um período tranquilo no Brasil em segurança da informação. Não bastou o ciberataque ao STJ (Superior Tribunal de Justiça), Ministério da Saúde e governo do Distrito Federal, clientes da Prudential do Brasil, uma das maiores seguradoras individuais do país, tiveram seus dados roubados por um ataque hacker.

Foi a própria empresa quem informou ter sido vítima de um incidente em seu sistema de propostas para contratação de seguro de vida individual. Mas os tipos de dados que vazaram é que chamam a atenção.

Os hackers teriam roubado dados pessoais de clientes como:

  • Nome do cliente

  • CPF

  • Endereço

  • Informações de saúde

  • Bens

  • Beneficiários do seguro

A seguradora afirmou que os criminosos obtiveram, “em casos limitados”, os números de conta corrente e agência dos clientes, mas garantiu que “informações relacionadas a cartões de crédito não foram comprometidas”.

A Prudential do Brasil não quis comentar sobre a quantidade de clientes que foram afetados pelo ataque, mas disse estar no “processo de notificação das pessoas impactadas”.

O que isso pode causar?

Dados pessoais como CPF e endereço, por exemplo, podem facilmente serem usados por criminosos para falsificar uma identidade ou para golpes direcionados. Neste último caso, o criminoso busca enganar pessoas próximas à vítima, uma vez que tem informações adequadas para o golpe.

“É importante que os usuários comprometidos sejam notificados para que fiquem alertas sobre possíveis falsificações ou diferentes tipos de fraude ou golpes”, diz Cecilia Pastorino, especialista em segurança da informação da ESET na América Latina.

Cecilia diz ser fundamental que a empresa vítima do hack tenha certeza de quais informações financeiras dos clientes foram obtidas pelos criminosos. Já os consumidores precisam monitorar os movimentos da conta bancária para detectar qualquer operação suspeita.

Rafael Abreu, diretor de fraude da LexisNexis na América Latina, segue na mesma linha e aconselha os clientes que tiveram os dados roubados a relatar qualquer atividade incomum ao banco.

“Infelizmente, é bastante fácil para os fraudadores usarem CPFs para acessar ou abrir contas bancárias, solicitar empréstimos ou usar números de cartões de crédito para comprar mercadorias online”, afirmou.

Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), afirma que ataques a empresas como seguradoras e planos de saúde são cada vez mais comuns pela quantidade de dados atualizados que os hacker conseguem obter.

“É muito vantajoso [para os hackers] porque os dados ali são precisos e atualizados. São dados quentes que, quando são vendidos, podem ser usados por criminosos junto a empresas de cartão de crédito, bancos etc”, comenta.

O presidente da Abraseci afirma que ataques como o sofrido pela Prudential é direcionado a um público específico. “O público de seguros é um público de dinheiro. O hacker é como um ladrão de carro, ele não vai roubar um carro aleatoriamente. Ele vai procurar dados específicos sobre encomenda. O hacker sai procurando as informações em sistemas que estejam expostos para, a partir daí, vender esses dados”, afirma.

Como foi o ataque?

Subsidiária da Prudential Financial, a companhia brasileira disse investigar o caso e afirmou a Tilt que o problema não se tratou de um ataque do tipo spear phishing —quando um invasor liga para o alvo fingindo ser alguém com autoridade ou um colega que precisa de ajuda para obter acesso ao computador.

“As investigações estão em andamento, não sendo possível dar mais detalhes sobre o caso no momento. Importante dizer que restauramos a segurança do nosso sistema de propostas assim que o incidente foi confirmado”, disse a empresa. A companhia não respondeu se o ataque foi causado por falha no sistema de segurança ou por erro humano.

Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética, afirmou que o comunicado da Prudential indica que se trata de um ataque do tipo exploração lateral. Nele, tenta se atingir um acesso específico da empresa para daí obter alvos maiores na mesma rede.

“A maioria dos sistemas tem níveis de acesso, geralmente divididos em três níveis: público, privado e administrativo. Provavelmente o atacante conseguiu usar um nível privado de acesso para exibir informações de clientes. O hacker não consegue acesso administrativo, mas consegue exibir alguns dados”, explica.

De acordo com o especialista, esse ataque limita o número de funcionários afetados porque deve ser feito manualmente, já que o hacker precisa ir de usuário em usuário para exibir os dados”. Se o processo for automatizado, “o ataque fica muito rápido e o sistema vai detectar instantaneamente”, diz.

Já Cecilia Pastorino, especialista em segurança da informação da ESET América Latina, afirmou que atualmente “existe uma grande diversidade de ameaças à segurança das empresas” e que, como a Prudential do Brasil não forneceu informações sobre o incidente, é “quase impossível” deduzir qual foi o mecanismo usado para obter acesso.

A Prudential afirmou que os ataques não impactaram as atividades, pois os canais de atendimento, liquidações de sinistros e pagamentos de indenizações aos segurados foram mantidos.

Fonte: UOL


Christian Luiz Floriani Stafin

Advogado e DPO - christian@stafin.adv.br

OAB/SC sob o nº 51.676