LOADING...
Faça login e
comente
Usuário ou Email
Senha
Esqueceu sua senha?
Ou
Registrar e
publicar
Você está quase pronto! Agora definir o seu nome de usuário e senha.
Usuário
Email
Senha
Senha
» Anuncie » Envie uma dica Ei, você é um redator, programador ou web designer? Estamos contratando!

Hacker invade site da Taurus Armas e vaza dados sensíveis de 40 mil clientes

15 de fevereiro de 2019 6

A Taurus Armas, fabricante de armas de fogo, sofreu um ataque hacker no último dia 6 de fevereiro, que vazou dados pessoais de 40 mil clientes da empresa de capital aberto sediada no Rio Grande do Sul. Nesta semana já havíamos noticiado um ataque a um site pertencente à NASA e a vulnerabilidade que afetou clientes do Banco Inter.

Entre os dados, há nome completo, telefone, e-mail, endereço, CPF ou CNPJ de usuários do site. O documento com o vazamento foi obtido pelo portal TecMundo por uma fonte anônima.

O responsável pelo vazamento disse ao portal que conseguiu captar os dados ao alterar o ID de usuário na URL, prática conhecida como “improper access control” (CWE-284), que permite aos invasores comprometer a segurança de domínios ou softwares ao obter privilégios ou executar comandos.

A vulnerabilidade CWE-284 diz ainda que quando um mecanismo não é aplicado ou falta, invasores podem comprometer a segurança do software e ler informações, executar comandos, evitar sua detecção, entre outros privilégios.

O invasor apontou como motivos para o ataque o fato de não concordar com a medida implementada pelo governo Jair Bolsonaro, que facilita a posse de armas de fogo, em decreto assinado em 15 de janeiro. Maior fabricante de armas do país e exportadora para outras 70 nações, a Taurus viu suas ações subirem após a eleição do ex-deputado, mas elas despencaram após a assinatura do decreto.

Ataque hacker invade site da Taurus (Imagens: TecMundo)

Além da não conformidade com o decreto e sua posição contrária à indústria de armas, o hacker fez outras críticas à Taurus: "ela [Taurus] fabrica armas de péssima qualidade, que vivem travando, disparando acidentalmente. Muitos policiais já tiveram que aposentar por causa da porcaria da arma deles. Mas, principalmente, contra o decreto do Bolsonaro”, disse ao TecMundo.

As informações vazadas podem ser utilizadas para diversos ataques, mesmo sem os dados da conta corrente sendo vazados, como engenharia social, quando utiliza-se dados de outras pessoas para obter crédito, abrir contas bancárias ou ainda recuperar serviços assinados pelos clientes prejudicados. Outra prática comum é o phishing, que pode roubar dados através de falsos comunicados enviados por e-mail e outros mensageiros.

Em nota enviada ao portal, a Taurus disse que investigará o caso. Confira a íntegra:

Esta página que foi acessada indevidamente continha um cadastro de pessoas associadas apenas à consulta de peças. Esse cadastro não continha quaisquer dados financeiros e tampouco dados sobre aquisição de produtos da companhia. Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia.

A companhia, tão logo soube desse acesso indevido, tomou imediatamente as seguintes providências: tirou imediatamente a página do ar; iniciou investigação interna; comunicou a autoridade policial responsável por crimes informáticos fornecendo todas as informações necessárias para subsidiar a investigação que já está em curso; está contratando uma empresa especializada para fazer uma auditoria completa; e iniciou o desenvolvimento de uma nova aplicação para consulta de peças, com criptografia da conexão e outras melhorias para evitar acessos indevidos".


6

Comentários

Hacker invade site da Taurus Armas e vaza dados sensíveis de 40 mil clientes
  • O maior erro nessa matéria é que não existe empresa chamada "Taurus Armas" e sim Forjas Taurus, pois essa empresa não produz exclusivamente armas, tanto que tenho um martela e um machado dessa mesma empresa.

      • Pelo que o site falou, deu a entender que você só precisava pegar a url e mudar um número nela para acessar o cadastro de outra pessoa, se for isso é um erro extremamente besta e uma falha enorme principalmente para uma empresa desse porte. Qualquer usuário, até com conhecimento baixo em computação conseguiria os dados facilmente dessa forma.

          • INTERESSANTE...

            Mas olha só que interessante...
            "Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia"

            E outra coisa que temos ficar atento:
            "O responsável pelo vazamento disse ao portal que conseguiu captar os dados ao alterar o ID de usuário na URL, prática conhecida como %u201Cimproper access control? (CWE-284), que permite aos invasores comprometer a segurança de domínios ou softwares ao obter privilégios ou executar comandos."

            Podemos concluir que alguém de dentro da empresa "vendeu" o ID para invadir e vazar os dados dos clientes em que consta o nome completo, telefone, e-mail, endereço, CPF/CNPJ. E o documento com o vazamento foi obtido pelo portal TecMundo por uma fonte anônima... Nada mal a "esquerda" agindo de forma infantil.... Enfim... está ficando cada vez mais comuns essas "vendas" de login/senha para "invadir"...

            Tá de Brincadeira esse povo.... Já não há mais Hacker como antigamente!

            Android

            Melhores smartphones: TOP 5 do TudoCelular para você | Junho 2019

            Especiais

            Nada de Black Fraude! Ferramenta do TudoCelular desvenda ofertas falsas

            Android

            TOP 10 smartphones de elite com melhor desempenho | Guia do TudoCelular

            Android

            TOP 10 smartphones de elite com melhor autonomia | Guia do TudoCelular