Cerca de 3.000 dados de trabalhadores do UniCredit são colocados à venda após um ataque de hackers
Em 19 de abril, um usuário do fórum de hackers escondido atrás do apelido c0C0linoz ofereceu para venda informações pessoais e relacionadas ao trabalho dos funcionários da UniCredit. O UniCredit é o maior banco da Itália e é uma das maiores instituições financeiras da Europa. Possui cerca de 100 mil funcionários e subsidiárias em vários países. Muitas pessoas estavam interessadas no que foi colocado à venda exatamente, e pesquisadores da Cyble e funcionários de uma unidade da Telecom Italia chamada Telsy decidiram dar uma olhada.
Índice
O que foi roubado?
De acordo com o post de c0c0linoz, os criminosos cibernéticos com algum dinheiro no bolso poderiam comprar os nomes, endereços de email, números de telefone e senhas criptografadas dos funcionários da UniCredit. Não havia muito disponível em termos de informações técnicas, mas o vendedor apontou que os dados foram datados até o final de 2018-2019 e, após verificar os registros de amostra que c0c0linoz postou no fórum de hackers, os pesquisadores de Telsy concluíram que as informações são autêntico.
De onde foi roubado?
Obviamente, uma violação em uma instituição financeira tão maciça poderia ter enormes consequências não apenas para os funcionários, mas também para os clientes. Depois de ouvir sobre a história, a Bloomberg entrou em contato com o banco e foi informado que os sistemas da UniCredit não foram violados. Em vez disso, o ataque visava uma plataforma de recrutamento de RH desenvolvida e gerenciada por uma empresa romena.
A investigação de Telsy identificou várias contas em outros fóruns de hackers, que provavelmente estão conectados ao c0c0linoz, e os pesquisadores viram que os dados estavam sendo anunciados várias vezes. Alguns dos anúncios mencionaram que os dados são originários da Romênia, mas ainda não está claro se os funcionários afetados estão localizados apenas no país da Europa Oriental ou se estão espalhados por todo o continente.
Quanto custam os dados?
As evidências sugerem que a plataforma de RH de terceiros foi invadida por uma injeção de SQL. As injeções de SQL estão no extremo inferior do espectro quando se trata de sofisticação. Está longe de ser o ataque mais difícil de se realizar, mas o fato é que quem fez isso quer um centavo bonito.
O número de funcionários afetados fica em torno de 3 mil, e os cibercriminosos que desejam uma lista de seus nomes podem obtê-lo por US $ 1 mil. Aqueles que desejam ter o banco de dados completo, além de todos os detalhes, precisam pagar US $ 10 mil.
O algoritmo de criptografia usado para codificar as senhas dos funcionários afetados é desconhecido, o que significa que é difícil dizer quanto de risco os dados representam. A menos que a recuperação das credenciais de texto sem formatação seja trivial, no entanto, as somas postadas no anúncio podem custar c0c0linoz no mercado. Felizmente, é exatamente isso que vai acontecer, mas o UniCredit deve estar preparado para reduzir o risco, caso contrário.