A operadora Claro apura um suposto acesso não autorizado aos seus sistemas depois de um utilizador identificado como “PacketSlut” ter colocado à venda, num fórum especializado, credenciais e permissões administrativas que alegadamente permitem controlar parte da infraestrutura em cloud da empresa. O anúncio surgiu na terça-feira, 30 de julho, e pede cerca de 30 000 moedas Monero (XMR), montante equivalente a aproximadamente nove milhões de reais.
O que o vendedor afirma possuir
Segundo a descrição publicada no fórum, o atacante diz ter conseguido “uma chave de ouro” para a operação de nuvem da Claro, que serviria mais de 80 milhões de clientes e 39 000 funcionários. Entre os ativos listados estão:
- Contas Amazon Web Services (AWS) com permissões em múltiplas regiões;
- Servidores VMware, SSH e APIs administrativas internas;
- Bases de dados PostgreSQL, DocumentDB e MongoDB em ambiente de produção;
- Buckets S3 contendo registos, ficheiros de configuração e informações de faturação;
- Código-fonte em repositórios Git e chaves de acesso DevOps;
- Sistemas de suporte, como SonarQube, SQS e Terraform;
- Credenciais variadas expostas através do serviço Parameter Store.
No anúncio, PacketSlut realça que a violação seria “ideal para ransomware, exfiltração de dados ou espionagem prolongada”. Para atrair potenciais compradores, garante que a intrusão foi “totalmente verificada” e que existem vários “vetores de persistência”.
Versão do alegado invasor
Contactado por uma publicação especializada em cibersegurança, o utilizador afirma que obteve o acesso graças a “credenciais descuradas” por um funcionário experiente e não por meio de vulnerabilidades complexas. “Qualquer pessoa poderia ter descoberto”, declarou, acrescentando que esta seria a sua primeira tentativa de obter lucro com informação obtida de forma ilícita.
Apesar da listagem referir dados pessoais, o atacante garante não ter descarregado registos de clientes nem vendido informações sensíveis. “Os mais de 80 milhões de clientes estão seguros”, afirmou. O vendedor reconhece, contudo, que outros agentes poderão explorar as mesmas credenciais caso estas permaneçam expostas.
Resposta e incertezas
Até ao momento da publicação, a Claro não esclareceu se o incidente teve origem numa falha interna, numa terceirizada ou num erro humano. A operadora foi questionada sobre a legitimidade do acesso e sobre a eventual exposição de dados de utilizadores, mas ainda não se pronunciou publicamente.
A autenticidade das credenciais apresentadas por PacketSlut também não foi confirmada por fontes independentes. As capturas de ecrã divulgadas mostram navegação em contas AWS associadas à empresa, mas não demonstram, de forma verificável, a extração de bases de dados com dados pessoais.
Potenciais impactos
Caso o acesso seja genuíno, os riscos passam por:
- Desativação ou compromissão de serviços de telecomunicações;
- Instalação de ransomware nos ambientes críticos de produção;
- Exfiltração de informações de clientes, funcionários e parceiros;
- Utilização dos recursos em nuvem para campanhas de cryptomining ou phishing.
Especialistas apontam que o controlo de infraestrutura em nuvem, mesmo sem cópia imediata de dados, representa uma ameaça considerável. O atacante pode criar utilizadores novos, alterar políticas de segurança ou introduzir código malicioso de forma discreta.
Contexto e próximos passos
Incidentes envolvendo credenciais expostas têm-se tornado frequentes no sector das telecomunicações latino-americanas, que gere grandes volumes de dados e depende cada vez mais de serviços em nuvem. Perante situações semelhantes, é prática comum as empresas procederem a:
- Rotação urgente de chaves e palavras-passe comprometidas;
- Análise forense para identificar a profundidade do acesso;
- Monitorização reforçada de tráfego interno e registos de auditoria;
- Comunicação a entidades reguladoras e, se necessário, aos titulares dos dados.
Enquanto a investigação decorre, analistas recomendam que clientes monitorizem movimentos bancários, ativem a autenticação de dois fatores e mantenham o software atualizado, medidas que reduzem o impacto de potenciais vazamentos.
A situação permanece em desenvolvimento. A confirmação da intrusão e a eventual divulgação de informações adicionais por parte da Claro ou de entidades externas determinarão a real dimensão do incidente.
Imagem: tecmundo.com.br
