0
0
O império de hambúrgueres Five Guys foi atingido pelo que parece ser uma operação de “quebrar e pegar”: ciberataques invadiram um servidor de arquivos e fugiram com as informações de identificação pessoal (PII) de pessoas que se inscreveram para trabalhar na rede.
Os detalhes são escassos, mas em uma carta aos afetados enviada em 29 de dezembro, o diretor de operações da Five Guys, Sam Chamberlain, observou que um “acesso não autorizado aos arquivos” foi descoberto em 17 de setembro e bloqueado no mesmo dia.
Ele acrescentou: “Realizamos uma análise cuidadosa desses arquivos e, em 8 de dezembro de 2022, determinamos que os arquivos continham informações enviadas a nós em conexão com o processo de contratação, incluindo seu nome e [dados variáveis]”.
O que eram esses “dados variáveis”, pode-se perguntar? A Turke & Strauss LLP, um escritório de advocacia que está investigando o assunto em nome das vítimas, identifica as informações como números do Seguro Social e dados da carteira de motorista.
Five Guys não respondeu imediatamente a um pedido de verificação ou comentário de Dark Reading.
A Five Guys emprega cerca de 5.000 pessoas em todo o mundo, de acordo com a Forbes , e presumivelmente a rotatividade e o número de inscrições para vagas abertas são semelhantes a outros empregos em serviços de alimentação. Mas, embora isso signifique que um grande número de pessoas poderia ser afetado pela violação, a empresa até agora não deixou claro quantas pessoas foram realmente apanhadas no incidente.
A Five Guys também não anunciou o que, se houver, reforço de segurança que planeja fazer após o incidente, apenas observando que contratou a aplicação da lei e uma empresa de segurança cibernética e que forneceria monitoramento de crédito. Brad Hong, gerente de sucesso do cliente da Horizon3ai, observa que as melhorias na defesa devem ser uma parte importante da resposta a incidentes.
“Um precedente infeliz foi estabelecido [pela infame violação da Equifax ] para simplesmente fornecer monitoramento de crédito, transferindo o ônus da ação de volta para o consumidor, em vez da organização anunciar as medidas tecnológicas tomadas para evitar violações no futuro”, diz ele.
Todo um menu de ataques subsequentes
Os pesquisadores observam que o desenrolar da situação pode ser difícil tanto para as vítimas individuais quanto para o próprio fornecedor de hambúrgueres. Esta não é a primeira vez que Five Guys é criticado na grade do cibercrime, como observa o vice-presidente executivo da BullWall, Steve Hahn – e um incidente anterior ilustra exatamente o que pode estar em jogo para ambos.
“Em uma violação anterior do Five Guys, o agente da ameaça usou os dados roubados para fazer cobranças fraudulentas em cartões de débito e crédito bancários, e um desses bancos, o Trustco, foi atingido com $ 100.000 em cobranças fraudulentas de clientes deles que fizeram parte do esta violação de dados”, disse ele a Dark Reading. “Se os bandidos conseguiram tanto com a Trustco, imagine quanto eles roubaram do Chase ou do Bank of America.”
Quanto ao impacto para a empresa, a Trustco entrou com uma ação contra a Five Guys em Nova York por danos relacionados à emissão de novos cartões e reembolso de vítimas por cobranças fraudulentas.
Nesse caso mais recente, John Bambenek, principal caçador de ameaças da Netenrich, observa que há vários ataques subsequentes que os agentes de ameaças podem montar usando os dados, mesmo que não incluam informações de cartão de pagamento.
“O uso mais imediato desses dados é perceber que há um punhado de pessoas na extremidade inferior da escala econômica que estão procurando emprego”, diz ele. “Imagino que haverá fraudes e iscas de recrutamento de mulas enviadas para essas pessoas em um futuro próximo.”
Enquanto isso, Hahn menciona que os criminosos cibernéticos mais astutos também tentarão tirar vantagem do medo e da reação do mercado quando tal incidente for divulgado, na forma de esforços de phishing ultracríveis.
“As vítimas podem receber um e-mail: ‘Pedimos desculpas, mas como você deve ter ouvido, seus dados fizeram parte de nossa violação de dados'”, explica ele. “‘Clique aqui para redefinir sua senha.’ Esses e-mails podem parecer idênticos aos e-mails de Five Guys e podem até falsificar o domínio Five Guys. Depois que o usuário insere suas credenciais, o agente da ameaça agora tem acesso a todos os outros sites em que usam essa senha, como PayPal, Amazon, ou Venmo.”
Jim Morris, consultor-chefe de segurança da Tanium, também disse a Dark Reading que o potencial para um efeito cascata de crime cibernético também pode incluir extorsão, afetando tanto candidatos quanto organizações.
“Qualquer organização vitimizada pode receber ameaças de dupla extorsão – ou seja, pedir dinheiro para não vazar ou vender os dados”, diz ele. “Indivíduos cujas informações estão contidas na violação podem ser vítimas de extorsão tripla, em que os invasores exigem dinheiro deles para, por sua vez, não vender ou usar seus dados”.
Um Smash (& Grab) Burger de roubo de dados
Como o aviso de violação de dados indica que os criminosos acessaram um único servidor de arquivos, sem movimento lateral, esse é provavelmente um caso de invasores motivados financeiramente procurando por frutas fáceis de encontrar, dizem os pesquisadores – e as encontrando.
Restaurantes e lojas de serviços alimentícios têm um conjunto único de desafios financeiros (como margens mínimas) que muitas vezes podem levá-los a despriorizar a segurança, mesmo quando coletam grandes quantidades de dados por meio de pedidos on-line, sistemas de reservas, sistemas de RH e muito mais, em uma ordem de magnitude que supera de longe outros setores, diz Andrew Barratt, vice-presidente da Coalfire.
“O desafio é real – temos agentes de ameaças adaptativos que perseguirão qualquer ponto de acesso contra defensores com orçamentos limitados e toda uma série de tensões macroeconômicas para focar também”, diz ele. “Realmente, precisamos manter a visibilidade desse tipo de compromisso alto para que os executivos não os descartem como ‘não vai acontecer comigo’.”
Outros são menos caridosos. Hong, da Horizon3ai, acrescenta: “A menos que o vetor de ataque neste incidente seja novo, todos os sinais indicam que este incidente é outro exemplo de empresa que escolheu retornos em vez de segurança. Com a Five Guys gerando quase US$ 2 bilhões em receita, eu estar interessado em ver o que seus gastos com segurança cibernética foram.”
Enquanto isso, os sistemas voltados para a Web podem exacerbar o risco, diz Casey Ellis, fundador e CTO da Bugcrowd.
“Isso se parece muito com um sistema de recrutamento em que os candidatos enviam seus currículos”, disse ele a Dark Reading. “Ter esses tipos de sistemas disponíveis na Internet faz sentido quando você considera o processo de recrutamento e solicitação de emprego, mas se algo está mais disponível para um usuário público, também está mais disponível para um invasor em potencial”.
Ele acrescenta: “Falhas comuns de codificação da Web, como referências de objetos indiretos (IDOR), falhas de autenticação e até mesmo falhas de injeção podem permitir esse tipo de resultado do invasor sem a necessidade de movimento lateral”.
Na verdade, Morris, da Tanium, observa que as abordagens de invasão mais comuns por agentes de ameaças em busca de escolhas fáceis tendem a ser a exploração de vulnerabilidades conhecidas, phishing e credenciais roubadas. Como tal, existem etapas simples que podem fazer com que os ladrões de dados de alimentação de fundo simplesmente avancem para um alvo mais fácil.
“As organizações podem combater esses ataques tendo um gerenciamento robusto do ciclo de vida de todo o hardware e software do computador. Isso requer a identificação de ativos e dados críticos e sua proteção adequada”, diz ele. “O gerenciamento do ciclo de vida do ativo também deve incluir programas sustentáveis e eficientes de correção e vulnerabilidade. Além disso, processos fortes de autenticação e autorização que incluem autenticação multifatorial precisam ser empregados.”
FONTE: DARK READING