0
0
Um hacker usando o identificador “USDoD” supostamente roubou informações de contato de mais de 80.000 membros de um programa administrado pelo FBI chamado InfraGard e colocou as informações à venda em um fórum da Dark Web em inglês.
As informações que o hacker acessou do banco de dados do InfraGard parecem ser bastante básicas e, em alguns casos, nem incluem um endereço de e-mail, de acordo com o KrebsOnSecurity, que relatou o incidente pela primeira vez esta semana. Mas as informações pertencem a CISOs, diretores de segurança, executivos de TI e C-suite, profissionais de saúde, gerentes de emergência e policiais e militares diretamente responsáveis pela proteção da infraestrutura crítica dos EUA.
Um ativo potencialmente valioso
Como tal, os dados roubados representam um ativo valioso para os adversários, diz o ex-membro do InfraGard Chris Pierson, atualmente CEO da BlackCloak, um serviço online de proteção de privacidade para altos executivos e líderes corporativos.
“O banco de dados de contatos do InfraGard é uma grande vitória para qualquer agência de inteligência ou estado-nação”, diz Pierson. A sensibilidade dos dados comprometidos não chega nem perto de grandes violações, como a que o US Office of Personnel Management (OPM) divulgou em 2015. Ainda assim, é muito prático e fácil de usar do ponto de vista do invasor, diz ele.
“Embora muitas das informações possam ser públicas ou disponíveis publicamente, a condensação dessas informações nas pessoas-chave que administram a infraestrutura crítica de nossa nação é imensamente valiosa”, observa Pierson. Endereços pessoais, telefones celulares pessoais e acesso fácil aos quais os membros possuem uma autorização de segurança são dados importantes para um adversário, diz ele.
O FBI descreve o InfraGard como uma iniciativa para reforçar a capacidade coletiva do país de se defender contra ameaças físicas e cibernéticas a alvos críticos de infraestrutura. Basicamente, ele conecta o FBI diretamente com proprietários, operadores e partes interessadas em segurança de infraestrutura crítica. Seus membros incluem pessoal-chave de segurança e tomadores de decisão de todos os 16 setores de infraestrutura crítica civil dos EUA.
De acordo com o KrebsOnSecurity, o hacker “USDoD” obteve acesso ao banco de dados InfraGard primeiro solicitando uma nova conta usando o nome, data de nascimento e número do Seguro Social de um diretor executivo de uma grande empresa de serviços financeiros. O hacker aparentemente solicitou a adesão ao InfraGard em novembro e forneceu um endereço de e-mail controlado pelo invasor e o número de telefone real do CEO, como informações de contato.
Um lapso Opsec?
Embora o InfraGard devesse ter verificado essas informações, eles nunca o fizeram e, em vez disso, aprovaram o aplicativo com base nas informações fornecidas pelo hacker, informou o KrebsOnSecurity. Da mesma forma, embora o acesso ao portal da InfraGard exija autenticação de dois fatores, o hacker descobriu que poderia usar o endereço de e-mail como um segundo fator, evitando assim a necessidade de acesso ao telefone do CEO real.
Uma vez no portal, o invasor descobriu que as informações do usuário do InfraGard podem ser acessadas com relativa facilidade por meio de uma API incorporada a vários componentes do site, disse o KrebsOnSecurity, citando uma conversa direta com o invasor. O hacker aparentemente pediu a um amigo para codificar uma consulta Python para recuperar todas as informações de membros do InfaGard disponíveis por meio da API. A KrebsOnSecurity citou o invasor como estabelecendo um preço inicial de US$ 50.000 para o conjunto de dados roubado, mas não esperava realmente nenhum comprador por esse preço devido à natureza básica da informação.
O membro do InfraGard, Will Carson, diretor de TI e segurança cibernética da Cybrary, expressou frustração com o incidente. “Como membro do InfraGard, certamente não é bom ouvir que suas informações podem ter sido divulgadas por uma agência de notícias antes de ouvir a organização afetada”, disse ele em um comunicado respondendo à notícia. Ele expressou desapontamento por não poder logar em sua conta InfraGard após a aparente violação.
“Embora eu tenha plena fé que a liderança do InfraGard tem uma compreensão mais forte dos fatos do que eu do lado de fora, o silêncio do rádio até o momento me deixa desconfortável como um profissional potencialmente impactado”, diz ele.
O FBI não respondeu imediatamente a um pedido de comentário do Dark Reading enviado por e-mail à sua assessoria de imprensa.
FONTE: DARK READING