Ataques de hackers vêm dando dores de cabeça ao redor do mundo, e nem mesmo a cidade de Saquarema, com cerca de 90 mil habitantes, foi poupada disso. Um grupo de invasores ameaça divulgar arquivos obtidos do sistema municipal, incluindo dados pessoais de funcionários como CPF, endereço, telefone, PIS/PASEP e até tipo sanguíneo.
O que tem no vazamento de Saquarema?
Os invasores alegam ter acessado os servidores da prefeitura em 16 de fevereiro de 2021, extraindo um total de 35 GB. “Isso inclui informações pessoais, documentos financeiros e fiscais”, afirma o grupo responsável pelo ransomware Avaddon.
Em 25 de fevereiro, eles deram um prazo de dez dias para que a prefeitura de Saquarema respondesse, o que aparentemente ainda não aconteceu – a página com a ameaça de vazamento ainda segue no ar nesta quinta-feira (4). O grupo está cobrando uma quantia em dinheiro para não expor os dados, sem revelar publicamente o valor.
“Damos 240 horas para nos contatar e cooperar conosco; se não fizerem isso antes desse prazo, pretendemos vazar todos os seus documentos e arquivos importantes, incluindo documentos financeiros, fiscais e de funcionários”, diz o aviso publicado no site do Avaddon na dark web.
Os hackers colocam uma amostra gratuita nesse site, que inclui contratos, decisões administrativas, boletos e planilhas de gastos. A parte mais preocupante é a ficha cadastral de um funcionário, que traz uma série de dados pessoais: nome completo, data de nascimento, CPF, RG, endereço, telefone, PIS/PASEP, título de eleitor, cargo, lotação e tipo sanguíneo.
A prefeitura de Saquarema tem um portal de transparência que conta com alguns dados presentes no vazamento – a discriminação de gastos municipais, por exemplo – porém em uma formatação diferente e com menos detalhes. Há uma área com o quadro de pessoal, mas ela está atualmente fora do ar; mesmo se funcionasse, ela certamente não poderia revelar tantas informações dos funcionários assim.
A prefeitura de Saquarema afirma que “adotou as medidas necessárias para a segurança e proteção do sistema informatizado e dos dados nele contidos”. Ela também diz que “o fato foi objeto de registro policial e as investigações estão a cargo da autoridade policial competente”.
Esse posicionamento veio pelo Messenger, através da conta oficial da prefeitura no Facebook.
LGPD também vale para órgãos públicos
A LGPD (Lei Geral de Proteção de Dados Pessoais) estabelece, em um de seus primeiros artigos, que pode ser aplicada “a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado”. Ou seja, órgãos do governo também estão sujeitos a sanções em caso de exposição de informações pessoais.
Cabe à ANPD (Autoridade Nacional de Proteção de Dados) analisar esse tipo de incidente e decidir pela punição: entidades públicas ficam sujeitas a advertências e sanções administrativas, enquanto empresas também podem ser multadas em até 2% sobre o faturamento anual, limitado a R$ 50 milhões. Essas punições só poderão ser aplicadas a partir de agosto de 2021.
Ransomware virou negócio bilionário
O Avaddon é um ransomware, ou seja, um programa malicioso que criptografa todos os arquivos de um PC invadido e cobra um resgate para devolver acesso aos arquivos. Desde o ano passado, ele começou adotar a tática da extorsão dupla: se a pessoa não quiser os arquivos de volta – por ter um backup – eles ameaçam vazar tudo na internet, a menos que você faça um pagamento (geralmente em bitcoin).
O ransomware se tornou uma empreitada multibilionária, segundo um relatório da empresa de segurança Group-IB: ela detectou mais de 500 ataques desse tipo só em 2020, com valor médio de US$ 170 mil obtido por extorsão. O Avaddon é apenas um de vários tipos: há também o Maze, Egregor, Conti, entre outros.
*Com informações do Tecnoblog.