Hackers serviram um aperitivo dos dados no Telegram. Foto: Pexels.

Tamanho da fonte: -A+A

Integrantes do grupo Lapsus$, que afirmam ter roubado 50 terabytes de dados do Ministério da Saúde, divulgaram um arquivo com 580 megas e quase 2 mil arquivos aparentemente associados ao desenvolvimento de aplicações.

A publicação foi feita no Telegram. De acordo com o site especializado CISO Advisor, o arquivo, batizado de “gitlab-app-saudegovbr” contém material de desenvolvimento de aplicativos (não necessariamente de dispositivos móveis) do ministério.

O GitLab do nome provavelmente se refere à empresa de mesmo nome, que mantém um popular repositório de software, usado em atividades de desenvolvimento e teste de código.

Segundo explica o CISO, o conteúdo é formado por uma enorme quantidade de scripts escritos em Java, poucas tabelas de dados e aparentemente nenhuma relacionada a cidadãos. 

A maior de todas aparentemente lista postos de vacinação espalhados pelo Brasil, o que não é exatamente informação crítica.

Em conversa com o CISO Advisor, os hackers afirmam ter copiado os dados uma semana antes de revelar o ataque, neste final de semana, por meio de um acesso ao vCenter Server, uma solução de virtualização de servidores da VMware, por meio da qual eles teriam podido fazer a administração dos recursos de nuvem e de máquinas virtuais do órgão.

O ataque ao Ministério da Saúde foi revelado no final de semana, quando o grupo anunciou o sequestro de dados direto na página do ministério.

O ataque tirou do ar o sistema do ConecteSUS e as plataformas que monitoram a evolução da Covid-19 e do Programa Nacional de Imunização (PNI). 

Desde então, outros órgãos foram afetados, incluindo partes do Ministério da Economia e também a Controladoria Geral da União, a Polícia Rodoviária Federal e o Instituto Federal do Paraná.

Todos os órgãos atacados tem em comum usarem serviços de computação em nuvem da AWS, oferecidos por meio de intermédio da Embratel, que venceu uma grande licitação do Ministério do Planejamento em 2019.

Até o momento, a hipótese mais provável é a utilização de um login e senha de um funcionário do governo ao serviço de broker da Embratel para a nuvem da AWS.

Segundo revela o Globo, o Gabinete de Segurança Institucional (GSI) da Presidência da República emitiu um alerta para todos os ministérios informando que "alguns casos de intrusão têm ocorrido com o uso de perfis legítimos de administrador". 

A constatação levou o órgão a fazer uma série de recomendações aos gestores de segurança cibernética do governo, como “bloquear imediatamente” a senha de servidores e colaboradores que estejam de férias ou licença, adotar “política de privilégios mínimos” a usuários, exigir a utilização de ferramentas de autenticação mais rigorosas e reavaliar as políticas de backup.