A Taurus Armas, fabricante de armas de fogo, sofreu um ataque hacker no último dia 6 de fevereiro, que vazou dados pessoais de 40 mil clientes da empresa de capital aberto sediada no Rio Grande do Sul. Nesta semana já havíamos noticiado um ataque a um site pertencente à NASA e a vulnerabilidade que afetou clientes do Banco Inter.

Entre os dados, há nome completo, telefone, e-mail, endereço, CPF ou CNPJ de usuários do site. O documento com o vazamento foi obtido pelo portal TecMundo por uma fonte anônima.

O responsável pelo vazamento disse ao portal que conseguiu captar os dados ao alterar o ID de usuário na URL, prática conhecida como “improper access control” (CWE-284), que permite aos invasores comprometer a segurança de domínios ou softwares ao obter privilégios ou executar comandos.

A vulnerabilidade CWE-284 diz ainda que quando um mecanismo não é aplicado ou falta, invasores podem comprometer a segurança do software e ler informações, executar comandos, evitar sua detecção, entre outros privilégios.

O invasor apontou como motivos para o ataque o fato de não concordar com a medida implementada pelo governo Jair Bolsonaro, que facilita a posse de armas de fogo, em decreto assinado em 15 de janeiro. Maior fabricante de armas do país e exportadora para outras 70 nações, a Taurus viu suas ações subirem após a eleição do ex-deputado, mas elas despencaram após a assinatura do decreto.

Além da não conformidade com o decreto e sua posição contrária à indústria de armas, o hacker fez outras críticas à Taurus: "ela [Taurus] fabrica armas de péssima qualidade, que vivem travando, disparando acidentalmente. Muitos policiais já tiveram que aposentar por causa da porcaria da arma deles. Mas, principalmente, contra o decreto do Bolsonaro”, disse ao TecMundo.

As informações vazadas podem ser utilizadas para diversos ataques, mesmo sem os dados da conta corrente sendo vazados, como engenharia social, quando utiliza-se dados de outras pessoas para obter crédito, abrir contas bancárias ou ainda recuperar serviços assinados pelos clientes prejudicados. Outra prática comum é o phishing, que pode roubar dados através de falsos comunicados enviados por e-mail e outros mensageiros.

Em nota enviada ao portal, a Taurus disse que investigará o caso. Confira a íntegra:

Esta página que foi acessada indevidamente continha um cadastro de pessoas associadas apenas à consulta de peças. Esse cadastro não continha quaisquer dados financeiros e tampouco dados sobre aquisição de produtos da companhia. Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia.

A companhia, tão logo soube desse acesso indevido, tomou imediatamente as seguintes providências: tirou imediatamente a página do ar; iniciou investigação interna; comunicou a autoridade policial responsável por crimes informáticos fornecendo todas as informações necessárias para subsidiar a investigação que já está em curso; está contratando uma empresa especializada para fazer uma auditoria completa; e iniciou o desenvolvimento de uma nova aplicação para consulta de peças, com criptografia da conexão e outras melhorias para evitar acessos indevidos".