A Vale, mineradora multinacional brasileira, sofreu um ciberataque onde documentos internos e possivelmente confidenciais foram roubados e divulgados por hackers.
A exploração ocorreu através de uma vulnerabilidade em uma ferramenta de software usada para colaboração em equipe, permitindo o resgate de atas de reunião e a extração de registros de ocorrências e incidentes de segurança globais.
Esse método de extração é conhecido como Google Hacking.
Os documentos expõem o modo como a Vale classifica e gerencia incidentes envolvendo funcionários ou questões ambientais.
Um dos relatórios menciona um assalto armado a um duto, sem o devido registro de ocorrência policial subsequente, conforme alegado pela fonte que enviou os documentos.
Foi localizado o documento referido mas não foram encontradas informações sobre a falta de registro policial.
Até o momento desta publicação, a Vale não havia respondido aos questionamentos sobre o incidente.
Contudo, após a publicação, a empresa enviou uma nota, que está disponível mais abaixo.
Os hackers não forneceram detalhes sobre como conseguiram acessar os documentos da companhia, apenas indicaram que a extração foi possível por meio de uma lacuna de segurança na URL, que estava acessível ao público via Microsoft Sharepoint - "Indexação de documentos secretos em subdomínio oculto, acessível por motores de busca", eles notaram.
Na nota enviada, os responsáveis pelo ataque elucidaram suas motivações, questionando o valor atribuído pela Vale à vida humana e criticando a empresa por suas práticas e gestão de riscos.
Posicionamento da Vale:
A empresa afirma que "não houve falha técnica no site Sharepoint nem invasão do seu ambiente de TI", esclarecendo que "as informações contidas nos documentos são registros e tratativas de incidentes e quase acidentes de segurança", parte essencial de seu sistema de Gestão de Saúde, Segurança e Meio Ambiente.
A Vale também enfatizou que os arquivos "supostamente vazados" eram, na verdade, acessíveis na área pública do seu site oficial, uma afirmação que levanta preocupações sobre privacidade, dado que os documentos incluíam dados pessoais dos funcionários, potencialmente expondo-os a riscos como spear phishing e tentativas de credential stuffing.
As atas de incidentes de segurança revelam detalhes sobre o tratamento dado pela empresa a diferentes tipos de acidentes - pessoais, materiais, ambientais e "quase acidentes" -, classificados por sua gravidade.
Em um dos documentos, um incidente em Mato Grosso do Sul, classificado como "Quase Acidente", poderia ter sido "Catastrófico".
O incidente de Brumadinho, um desastre ambiental causado pelo rompimento de uma barragem, volta a colocar a Vale sob intenso escrutínio, reacendendo debates sobre a gestão de riscos e a responsabilidade corporativa em grandes empresas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...