Europol confirma invasão em portal web
13 de Maio de 2024

A Europol, agência de aplicação da lei da União Europeia, confirmou que seu portal Europol Platform for Experts (EPE) foi violado e agora está investigando o incidente após um ator de ameaça alegar que roubou documentos classificados como For Official Use Only (FOUO), contendo dados classificados.

O EPE é uma plataforma online que especialistas em aplicação da lei usam para "compartilhar conhecimento, melhores práticas e dados não pessoais sobre o crime.

"A Europol está ciente do incidente e está avaliando a situação.Ações iniciais já foram tomadas.
O incidente diz respeito a um grupo fechado de usuários da Europol Platform for Expert (EPE)", afirmou a Europol ao BleepingComputer.

Nenhuma informação operacional é processada nessa aplicação EPE.

Nenhum sistema central da Europol foi afetado e, portanto, nenhum dado operacional da Europol foi comprometido."

Os registros pessoais em papel de Catherine De Bolle, diretora executiva da Europol, e outros altos funcionários da agência também vazaram antes de setembro de 2023, conforme reportado pelo Politico em março.

"Em 6 de setembro de 2023, a Diretoria da Europol foi informada de que arquivos pessoais em papel de vários membros da equipe da Europol haviam desaparecido", disse uma nota datada de 18 de setembro e compartilhada em um sistema interno de mensagens.

Dada a função da Europol como autoridade de aplicação da lei, o desaparecimento de arquivos pessoais dos membros da equipe constitui um grave incidente de violação de segurança e de dados pessoais.

IntelBroker, o ator de ameaça por trás das alegações de violação de dados, descreve os arquivos como sendo FOUO e contendo dados classificados.

O ator de ameaça diz que os dados supostamente roubados incluem informações sobre funcionários da aliança, código-fonte FOUO, PDFs e documentos para reconhecimento e diretrizes.

Eles também afirmam ter ganhado acesso ao EC3 SPACE (Secure Platform for Accredited Cybercrime Experts), uma das comunidades no portal EPE, hospedando centenas de materiais relacionados a crimes cibernéticos e usada por mais de 6.000 especialistas em crimes cibernéticos autorizados de todo o mundo, incluindo:

Forças da lei de autoridades competentes dos Estados-Membros da UE e países não pertencentes à UE;

Autoridades judiciais, instituições acadêmicas, empresas privadas, organizações não governamentais e internacionais;

Funcionários da Europol.

A IntelBroker também diz ter comprometido a plataforma SIRIUS, usada por autoridades judiciais e de aplicação da lei de 47 países, incluindo estados membros da UE, o Reino Unido, países com um acordo de cooperação com a Eurojust e o Ministério Público Europeu (EPPO).

O SIRIUS é usado para acessar provas eletrônicas transfronteiriças no contexto de investigações e processos criminais.

Além de vazar capturas de tela da interface de usuário online do EPE, a IntelBroker também vazou uma pequena amostra de um banco de dados do EC3 SPACE supostamente contendo 9.128 registros.

A amostra parece conter informações pessoais de agentes de aplicação da lei e especialistas em crimes cibernéticos com acesso à comunidade EC3 SPACE.

"Estou vendendo apenas para membros reputados", diz o ator de ameaça em uma postagem de sexta-feira em um fórum de hacking.

Desde dezembro, esse ator de ameaça vem vazando dados que ele alegadamente roubou de várias agências governamentais, como ICE e USCIS, o Departamento de Defesa e o Exército dos EUA.

Não está claro se esses incidentes também estão conectados ao suposto vazamento de dados do Five Eyes em abril de 2024, mas alguns dos dados despejados no post do fórum ICE/USCIS se sobrepõem ao post do Five Eyes.

A IntelBroker se tornou conhecida após violar o DC Health Link, que gerencia planos de saúde para membros, funcionários e famílias da Câmara dos EUA.

A violação levou a uma audiência no congresso após a exposição de dados pessoais de 170.000 indivíduos afetados, incluindo membros e funcionários da Câmara dos Representantes dos EUA.

Outros incidentes de cibersegurança ligados a este ator de ameaça são as violações da Hewlett Packard Enterprise (HPE), Home Depot, o serviço de supermercado Weee! e uma suposta violação da General Electric Aviation.

No início desta semana, a IntelBroker também começou a vender informações de acesso à rede da empresa de segurança em nuvem Zscaler (isto é, "logs repletos de credenciais, acesso SMTP, PAuth Pointer Auth Access, SSL Passkeys & Certificados SSL").

A Zscaler depois confirmou que descobriu um "ambiente de teste isolado" exposto online, que foi retirado do ar para análise forense, mesmo que nenhum ambiente da empresa, cliente ou de produção tenha sido afetado.

A Zscaler também contratou uma empresa de resposta a incidentes para conduzir uma investigação independente.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...