(In)Seguro em Resumo: Vazamento no Booking.com, McKinsey Contra um Agente de IA e um Milhão 'Fora do Lugar'

4K+ Cobertura em 30 dias SearchInform 70,31 Classificação 46.485 Assinantes Assinar SearchInform_team Há 57 minutos (In)Seguro em Resumo: Vazamento no Booking.com, McKinsey Contra um Agente de IA e um Milhão 'Fora do Lugar' 6 min 2K Blog da SearchInform Segurança da Informação * Resumo Tradicionalmente, contamos sobre os incidentes de segurança da informação mais marcantes do último mês. No programa de abril: roubo de fotos pessoais de uma grande rede social, ataque de hackers a dados confidenciais de viajantes e um agente de IA que revelou segredos de consultoria. Todos os detalhes estão abaixo.

De relance O que aconteceu: Um ex-funcionário da Meta* em Londres descobriu mais de 30.000 imagens de páginas pessoais de usuários do Facebook**. Como isso aconteceu: Há mais de um ano, a Meta descobriu que um de seus engenheiros, enquanto trabalhava na empresa, teve acesso a imagens pessoais de usuários do Facebook. O funcionário desenvolveu um programa que ajudou a contornar os sistemas de segurança da corporação e acessar as fotos dos usuários. Os usuários afetados do Facebook foram notificados sobre o incidente, o suspeito foi demitido imediatamente e os sistemas de segurança foram modernizados. A própria empresa transferiu todos os dados sobre a violação para o departamento de combate ao crime cibernético de Londres. Uma investigação criminal foi iniciada. *A Meta Platforms foi reconhecida como uma organização extremista na Rússia e proibida. **O Facebook pertence à Meta Platforms, que foi reconhecida como uma organização extremista na Rússia e proibida.

Serviço de quarto O que aconteceu: hackers invadiram Booking.com – um dos maiores sites de reservas de acomodação – e obtiveram informações sobre reservas de contas pessoais dos usuários. Como isso aconteceu: A empresa registrou que desconhecidos invadiram seus sistemas internos e obtiveram acesso a dados confidenciais de viajantes. A investigação mostrou que os invasores poderiam visualizar informações de reserva, apelidos e nomes reais de usuários, endereços de e-mail e endereços físicos, bem como números de telefone vinculados a reservas de acomodação e qualquer outra informação. Especialistas da Booking.com reagiram ao incidente e atualizaram os PINs para essas reservas, além de informar os usuários sobre o incidente. A empresa não revelou quantas pessoas foram afetadas pela invasão, mas acrescentou que os invasores não conseguiram acessar informações financeiras dos usuários.

O médico não prescreveu isso O que aconteceu: Um hospital de Hong Kong enfrentou um vazamento de dados de mais de 65 mil pacientes. Como isso aconteceu: No início de abril, os sistemas internos de monitoramento da Autoridade Hospitalar de Hong Kong detectaram uma invasão e vazamento de dados de registros médicos de residentes de Kowloon East – um dos maiores distritos da cidade. A Polícia de Segurança Cibernética de Hong Kong conduziu uma investigação. Descobriu-se que o incidente foi causado por um especialista em manutenção que trabalhava para uma empresa contratada pela Autoridade. Essa empresa mantinha o sistema responsável pelo funcionamento do equipamento nas salas de operação. Portanto, sua infraestrutura armazenava dados relacionados a procedimentos cirúrgicos: nomes de pacientes, números de seus documentos de identidade e cartões de hospital, bem como detalhes das operações realizadas. Foram eles que foram comprometidos. A polícia apreendeu mais de 60 dispositivos digitais da empresa contratada, incluindo servidores e telefones celulares. A investigação mostrou que o vazamento ocorreu de repositórios que estavam sob a responsabilidade de duas filiais remotas da empresa. Um funcionário do contratante usou o acesso a eles, invadiu o sistema, baixou dados confidenciais de pacientes e os vazou para recursos de terceiros. O invasor foi preso e o contratante teve seu acesso aos sistemas da Autoridade Hospitalar de Hong Kong bloqueado até a conclusão da investigação. A Comissão de Proteção de Dados Pessoais alertou os pacientes afetados sobre o vazamento e também criou uma linha direta especial para processar solicitações.

Agente disfarçado O que aconteceu: Um agente de IA em algumas horas revelou todos os segredos da McKinsey. Como isso aconteceu: A equipe de hackers éticos da CodeWallAI invadiu a plataforma de IA corporativa Lilli da gigante de consultoria McKinsey. Com a ajuda de um agente de IA atacante, eles realizaram testes de penetração aprofundados e contornaram os filtros de segurança do assistente inteligente da empresa de consultoria. Primeiro, o agente de IA descobriu em acesso aberto detalhes detalhados sobre mais de 200 endpoints que estavam conectados à plataforma por meio de uma interface de programação de aplicativos (API). A conexão com 22 deles foi realizada sem autorização, ou seja, não previa nenhuma verificação da identidade do usuário e era protegida até mesmo por senha. Em seguida, o agente invadiu o banco de dados de um desses pontos desprotegidos e descobriu que as solicitações dos usuários para a plataforma Lilli eram armazenadas lá. Embora os valores nas células fossem protegidos, os nomes dos campos foram substituídos em consultas SQL via JSON 'como estão' – ou seja, havia uma injeção SQL clássica no banco de dados, que o scanner padrão não notou. Devido a essa vulnerabilidade, os nomes dos campos foram retornados em mensagens de erro. Em quinze tentativas, o agente de IA de pesquisa restaurou a estrutura da solicitação e obteve acesso a dados 'ao vivo'. Acontece que o modelo reconheceu um ponto fraco que as ferramentas de verificação padrão nem teriam calculado. O agente foi ainda mais fundo. Com a ajuda de injeções de prompt e manipulações com o mecanismo RAG, o assistente de IA contornou as proibições sistêmicas embutidas. Descobriu-se que o modelo acessava dados com direitos excessivos. Além disso, por meio de vulnerabilidades em plug-ins da plataforma, os pesquisadores conseguiram implementar um ataque SSRF (falsificação de solicitações em nome do servidor), obtendo acesso direto aos metadados da infraestrutura de nuvem e chaves de acesso. Em duas horas a partir do lançamento do agente, os hackers éticos conseguiram obter acesso total de leitura e gravação a todo o banco de dados de produção da McKinsey – sem senhas e sem a participação humana. Durante o ataque, eles coletaram 46,5 milhões de mensagens de bate-papo, 728 mil arquivos (dos quais: 192 mil arquivos PDF, 93 mil planilhas Excel, 93 mil apresentações PowerPoint, 58 mil documentos Word), 57 mil contas de usuário, 384 mil assistentes de IA e 94 mil locais de trabalho. Como o ataque foi controlado, a McKinsey não sofreu perdas financeiras reais e os dados não vazaram para a dark web. No entanto, como parte do teste, os pesquisadores causaram danos 'controlados' colossais: eles demonstraram a capacidade de baixar documentos estratégicos, análises internas e informações estritamente confidenciais sobre clientes da McKinsey em todo o mundo. O ataque não causou interrupções no trabalho de nenhum serviço de produção. Os resultados da pesquisa foram transferidos para a equipe de segurança da McKinsey e todos os problemas foram resolvidos.

Aviso legal Esta pesquisa (ataque controlado) foi conduzida de acordo com os princípios de divulgação responsável de informações e a metodologia padrão da indústria para pesquisa de segurança. Todos os testes foram de natureza puramente verificadora.

Eu só vou ficar por perto O que aconteceu: Um funcionário de um banco em Delhi ajudou cibercriminosos e abriu contas falsas para roubar dinheiro. Como isso aconteceu: O incidente ocorreu em outubro de 2023. Na época, o departamento de polícia cibernética da cidade de Dwarka recebeu uma denúncia de débito não autorizado de 88 mil rúpias (cerca de 400 rublos) de uma conta no banco SBI. A transferência foi rastreada para a organização de crédito privada RBL, onde o gerente de relacionamento com o cliente suspeito trabalhava. O funcionário abriu contas com documentos falsos por uma taxa, que foram então usadas por cibercriminosos para roubar dinheiro das vítimas. Agora, o cúmplice dos fraudadores foi encontrado e preso. Anteriormente, quatro pessoas já haviam sido detidas neste caso. Os criminosos atraíram as vítimas com ofertas de emprego nas redes sociais e primeiro pagaram pequenas quantias, e então, por meio de engano, as forçaram a transferir quantias cada vez maiores de volta (falamos em detalhes sobre esse esquema de 'divórcio' no guia de segurança nas redes sociais). Depois, os fraudadores retiraram dinheiro de contas falsas – para isso, eles recrutaram funcionários de bancos – e bloquearam as vítimas. Algumas vítimas perderam milhões de rúpias por causa do esquema. A investigação continua. Até agora, o Gabinete Central está lidando com a escala do esquema e estabelecendo os 'clientes'. Presume-se que o caso não seja único – quantos funcionários de banco estão envolvidos e sobre quais volumes estamos falando, ainda precisa ser descoberto. No passado, no (In)Seguro em Resumo, falamos sobre um crime semelhante – então duas pessoas foram presas na Índia, que subornaram funcionários de bancos para criar contas 'falsas' e realizar transações 'falsas'. Pode acontecer que estes sejam elos da mesma cadeia.

Filme de ficção 'Roubado' O que aconteceu: A empresa britânica de petróleo e gás Zephyr Energy plc perdeu cerca de 700 mil libras esterlinas (cerca de 938 mil dólares) devido a um ataque cibernético. Como isso aconteceu: O incidente ocorreu em uma das divisões americanas da empresa. Durante a transferência de fundos para o contratante, cibercriminosos conseguiram interferir na cadeia, substituir o caminho do pagamento e enviá-lo para uma conta controlada. A Zephyr Energy não revelou o esquema exato, apontando para a 'alta tecnologia' do crime. Muito provavelmente, ocorreu um ataque BEC: a mídia sugere que os hackers invadiram o e-mail do destinatário do pagamento e, no último momento, alteraram os detalhes para a transferência, para que as próprias vítimas enviassem o dinheiro para uma conta falsa. Especialistas da Zephyr Energy não perceberam o problema imediatamente, mas após sua descoberta, entraram em contato com a polícia. Desde então, a ameaça foi eliminada e a empresa relatou que implementou medidas de proteção adicionais e iniciou o trabalho com bancos e consultores terceirizados para recuperar o dinheiro roubado. A empresa acrescentou que este episódio não afetou o funcionamento dos principais sistemas e as atividades operacionais.

Tags: vazamentos vazamentos de informações ia agentes de ia dados confidenciais atos bec hackers invasão insiders

Hubs: Blog da SearchInform Segurança da Informação 0 1 0 4K+ Cobertura em 30 dias SearchInform Site X VKontakte Telegram 4K+ Cobertura em 30 dias 14 Karma @SearchInform_team Usuário Assinar Site O fluxo de Segurança da Informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr Habr Cursos para todos PUBLICIDADE Prática, Hexlet, SkyPro, cursos do autor - reunimos todos e pedimos descontos. Resta escolher! Ir Ir para o fluxo de Segurança da Informação Comentar Melhor do dia Semelhante