(Bloomberg) — Em um episódio que destaca a vulnerabilidade das redes globais de computadores, hackers obtiveram credenciais de login para data centers na Ásia usados por algumas das maiores empresas do mundo, uma potencial bonança para espionagem ou sabotagem, de acordo com uma empresa de pesquisa de segurança cibernética .
Mais lidos da Bloomberg
Os caches de dados não relatados anteriormente envolvem e-mails e senhas para sites de suporte ao cliente de duas das maiores operadoras de data centers da Ásia: GDS Holdings Ltd., com sede em Xangai, e ST Telemedia Global Data Centers, com sede em Cingapura, de acordo com a Resecurity Inc., que fornece serviços de segurança cibernética e investiga hackers. Cerca de 2,000 clientes da GDS e STT GDC foram afetados. Os hackers acessaram as contas de pelo menos cinco deles, incluindo a principal plataforma de negociação de câmbio e dívida da China e outras quatro da Índia, de acordo com a Resecurity, que disse ter se infiltrado no grupo de hackers.
Não está claro o que – se é que fizeram – os hackers fizeram com os outros logins. As informações incluíam credenciais em números variados para algumas das maiores empresas do mundo, incluindo Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., e Walmart Inc., de acordo com a empresa de segurança e centenas de páginas de documentos que a Bloomberg analisou.
Respondendo a perguntas sobre as descobertas da Resecurity, GDS disse em um comunicado que um site de suporte ao cliente foi violado em 2021. Não está claro como os hackers obtiveram os dados STT GDC. Essa empresa disse que não encontrou evidências de que seu portal de atendimento ao cliente tenha sido comprometido naquele ano. Ambas as empresas disseram que as credenciais não autorizadas não representam um risco para os sistemas de TI ou dados dos clientes.
No entanto, a Resecurity e executivos de quatro grandes empresas americanas afetadas disseram que as credenciais roubadas representam um perigo incomum e sério, principalmente porque os sites de suporte ao cliente controlam quem tem permissão para acessar fisicamente os equipamentos de TI alojados nos data centers. Esses executivos, que souberam dos incidentes pela Bloomberg News e corroboraram as informações com suas equipes de segurança, pediram para não serem identificados porque não estavam autorizados a falar publicamente sobre o assunto.
Inscreva-se no nosso boletim informativo semanal sobre segurança cibernética, o Cyber Bulletin, aqui.
A magnitude da perda de dados relatada pela Resecurity destaca o risco crescente que as empresas enfrentam por causa de sua dependência de terceiros para armazenar dados e equipamentos de TI e ajudar suas redes a alcançar mercados globais. Especialistas em segurança dizem que o problema é particularmente grave na China, que exige que as empresas façam parcerias com provedores de serviços de dados locais.
“É um pesadelo esperando para acontecer”, disse Michael Henry, ex-diretor de informações da Digital Realty Trust Inc., uma das maiores operadoras de data centers dos EUA, quando informado sobre os incidentes pela Bloomberg. (A Digital Realty Trust não foi afetada pelos incidentes). O pior cenário para qualquer operador de data center é que os invasores de alguma forma obtenham acesso físico aos servidores dos clientes e instalem códigos maliciosos ou equipamentos adicionais, disse Henry. “Se conseguirem isso, podem interromper as comunicações e o comércio em grande escala.”
GDS e STT GDC disseram que não tinham indicação de que algo assim tivesse acontecido e que seus serviços principais não foram afetados.
Os hackers tiveram acesso às credenciais de login por mais de um ano antes de publicá-las à venda na dark web no mês passado, por US$ 175,000, dizendo que ficaram impressionados com o volume, de acordo com a Resecurity e uma captura de tela da postagem analisada pela Bloomberg. .
“Usei alguns alvos”, disseram os hackers no post. “Mas incapaz de lidar com o número total de empresas é superior a 2,000.”
Os endereços de e-mail e senhas podem ter permitido que hackers se disfarçassem como usuários autorizados nos sites de atendimento ao cliente, de acordo com a Resecurity. A empresa de segurança descobriu os caches de dados em setembro de 2021 e disse que também encontrou evidências de que os hackers os estavam usando para acessar contas de clientes GDS e STT GDC em janeiro, quando os dois operadores de data center forçaram a redefinição de senha do cliente, de acordo com a Resecurity.
Mesmo sem senhas válidas, os dados ainda seriam valiosos - permitindo que hackers criem e-mails de phishing direcionados contra pessoas com acesso de alto nível às redes de suas empresas, de acordo com a Resecurity.
A maioria das empresas afetadas contatadas pela Bloomberg News, incluindo Alibaba, Amazon, Huawei e Walmart, se recusou a comentar. A Apple não respondeu às mensagens pedindo comentários.
Em um comunicado, a Microsoft disse: “Monitoramos regularmente as ameaças que podem afetar a Microsoft e, quando ameaças potenciais são identificadas, tomamos as medidas apropriadas para proteger a Microsoft e nossos clientes”. Um porta-voz do Goldman Sachs disse: “Temos controles adicionais para proteger contra esse tipo de violação e estamos satisfeitos por nossos dados não estarem em risco”.
A montadora BMW disse estar ciente do problema. Mas um porta-voz da empresa disse: “Após a avaliação, o problema tem um impacto muito limitado nos negócios da BMW e não causou danos aos clientes da BMW e informações relacionadas ao produto”. O porta-voz acrescentou: “A BMW instou a GDS a melhorar o nível de segurança da informação”.
GDS e STT GDC são dois dos maiores provedores de serviços de “colocação” da Ásia. Eles agem como proprietários, alugando espaço em seus data centers para clientes que instalam e gerenciam seus próprios equipamentos de TI lá, geralmente para ficarem mais próximos dos clientes e das operações de negócios na Ásia. A GDS está entre os três principais provedores de colocation na China, o segundo maior mercado para o serviço no mundo depois dos Estados Unidos, de acordo com o Synergy Research Group Inc. Cingapura ocupa o sexto lugar.
As empresas também estão interligadas: um documento corporativo mostra que, em 2014, a Singapore Technologies Telemedia Pte, controladora da STT GDC, adquiriu uma participação de 40% na GDS.
O CEO da Resecurity, Gene Yoo, disse que sua empresa descobriu os incidentes em 2021, depois que um de seus agentes se disfarçou para se infiltrar em um grupo de hackers na China que atacou alvos do governo em Taiwan.
Logo depois, alertou GDS e STT GDC e um pequeno número de clientes da Resecurity que foram afetados, de acordo com Yoo e os documentos.
A Resecurity notificou GDS e STT GDC novamente em janeiro depois de descobrir os hackers acessando contas, e a empresa de segurança também alertou as autoridades na China e Cingapura na época, de acordo com Yoo e os documentos.
Ambos os operadores de data centers disseram que responderam prontamente quando notificados sobre os problemas de segurança e iniciaram investigações internas.
Cheryl Lee, porta-voz da Agência de Segurança Cibernética de Cingapura, disse que a agência “está ciente do incidente e está auxiliando a ST Telemedia neste assunto”. A Equipe Técnica/Centro de Coordenação de Resposta a Emergências da Rede Nacional de Computadores da China, uma organização não-governamental que lida com respostas a emergências cibernéticas, não respondeu às mensagens solicitando comentários.
A GDS reconheceu que um site de suporte ao cliente foi violado e disse que investigou e corrigiu uma vulnerabilidade no site em 2021.
“O aplicativo visado pelos hackers é limitado em escopo e informações a funções de serviço não críticas, como solicitações de emissão de bilhetes, agendamento de entrega física de equipamentos e revisão de relatórios de manutenção”, de acordo com um comunicado da empresa. “As solicitações feitas por meio do aplicativo geralmente exigem acompanhamento e confirmação off-line. Dada a natureza básica do aplicativo, a violação não resultou em nenhuma ameaça às operações de TI de nossos clientes.”
A STT GDC disse que trouxe especialistas externos em segurança cibernética quando soube do incidente em 2021. “O sistema de TI em questão é uma ferramenta de tíquetes de atendimento ao cliente” e “não tem conexão com outros sistemas corporativos nem qualquer infraestrutura de dados críticos”, disse a empresa. .
A empresa disse que seu portal de atendimento ao cliente não foi violado em 2021 e que as credenciais obtidas pela Resecurity são “uma lista parcial e desatualizada de credenciais de usuários para nossos aplicativos de tíquetes de clientes. Esses dados agora são inválidos e não representam um risco de segurança daqui para frente.”
“Nenhum acesso não autorizado ou perda de dados foi observado”, de acordo com a declaração da STT GDC.
Independentemente de como os hackers possam ter usado as informações, especialistas em segurança cibernética disseram que os roubos mostram que os invasores estão explorando novas maneiras de se infiltrar em alvos difíceis.
A segurança física dos equipamentos de TI em centros de dados de terceiros e os sistemas para controlar o acesso a eles representam vulnerabilidades que muitas vezes são negligenciadas pelos departamentos de segurança corporativa, disse Malcolm Harkins, ex-chefe de segurança e oferta de privacidade da Intel Corp. equipamento “pode ter consequências devastadoras”, disse Harkins.
Os hackers obtiveram endereços de e-mail e senhas de mais de 3,000 pessoas na GDS – incluindo seus próprios funcionários e os de seus clientes – e mais de 1,000 da STT GDC, de acordo com os documentos analisados pela Bloomberg News.
Os hackers também roubaram credenciais da rede GDS de mais de 30,000 câmeras de vigilância, a maioria das quais contava com senhas simples como “admin” ou “admin12345”, mostram os documentos. O GDS não respondeu a uma pergunta sobre o suposto roubo de credenciais para a rede de câmeras ou sobre as senhas.
O número de credenciais de login para os sites de suporte ao cliente variou para diferentes clientes. Por exemplo, havia 201 contas no Alibaba, 99 na Amazon, 32 na Microsoft, 16 na Baidu Inc., 15 no Bank of America Corp., sete no Bank of China Ltd., quatro na Apple e três no Goldman, de acordo com os documentos. Yoo, da Resecurity, disse que os hackers só precisam de um endereço de e-mail e senha válidos para acessar a conta de uma empresa no portal de atendimento ao cliente.
Entre as outras empresas cujos detalhes de login dos funcionários foram obtidos, de acordo com a Resecurity e os documentos, estavam: Bharti Airtel Ltd. na Índia, Bloomberg LP (dona da Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. . nas Filipinas, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. na Austrália, Tencent Holdings Ltd., Verizon Communications Inc. e Wells Fargo & Co.
Em um comunicado, o Baidu disse: “Não acreditamos que nenhum dado tenha sido comprometido. A Baidu presta muita atenção para garantir a segurança dos dados de nossos clientes. Vamos ficar de olho em assuntos como esse e permanecer alertas para qualquer ameaça emergente à segurança de dados em qualquer parte de nossas operações.”
Um representante da Porsche disse: “Neste caso específico, não temos indicação de que houvesse algum risco”. Um representante do SoftBank disse que uma subsidiária chinesa parou de usar o GDS no ano passado. “Nenhum vazamento de dados de informações do cliente da empresa local da China foi confirmado, nem houve qualquer impacto em seus negócios e serviços”, disse o representante.
Um porta-voz da Telstra disse: “Não temos conhecimento de nenhum impacto nos negócios após essa violação”, enquanto um representante da Mastercard disse: “Embora continuemos monitorando essa situação, não temos conhecimento de nenhum risco para nossos negócios ou impacto para nossa rede ou sistemas de transações.”
Um representante da Tencent disse: “Não temos conhecimento de nenhum impacto nos negócios após essa violação. Gerenciamos nossos servidores dentro dos data centers diretamente, com os operadores das instalações do data center sem acesso a nenhum dado armazenado nos servidores da Tencent. Não descobrimos nenhum acesso não autorizado de nossos sistemas e servidores de TI após investigação, que permanecem seguros e protegidos.”
Um porta-voz do Wells Fargo disse que usou o GDS para infraestrutura de TI de backup até dezembro de 2022. “O GDS não tinha acesso aos dados, sistemas ou rede do Wells Fargo”, disse a empresa. As outras empresas se recusaram a comentar ou não responderam.
Yoo, da Resecurity, disse que, em janeiro, o agente disfarçado de sua empresa pressionou os hackers para uma demonstração de se eles ainda tinham acesso às contas. Os hackers forneceram capturas de tela mostrando-os acessando contas de cinco empresas e navegando em páginas diferentes nos portais online GDS e STT GDC, disse ele. A ressegurança permitiu que a Bloomberg News revisasse essas capturas de tela.
Na GDS, os hackers acessaram uma conta do China Foreign Exchange Trade System, um braço do banco central da China que desempenha um papel fundamental na economia daquele país, operando a principal plataforma de negociação de câmbio e dívida do governo, segundo as capturas de tela e a Resecurity. A organização não respondeu às mensagens.
Na STT GDC, os hackers acessaram contas da National Internet Exchange of India, uma organização que conecta provedores de internet em todo o país, e três outras com sede na Índia: MyLink Services Pvt., Skymax Broadband Services Pvt. e Logix InfoSecurity Pvt., as capturas de tela mostram.
Procurado pela Bloomberg, o National Internet Exchange of India disse que não estava ciente do incidente e se recusou a fazer mais comentários. Nenhuma das outras organizações na Índia respondeu aos pedidos de comentários.
Questionado sobre a alegação de que os hackers ainda estavam acessando contas em janeiro usando as credenciais roubadas, um representante da GDS disse: “Recentemente, detectamos vários novos ataques de hackers usando as informações de acesso à conta antiga. Usamos várias ferramentas técnicas para bloquear esses ataques. Até agora, não encontramos nenhuma nova invasão bem-sucedida de hackers devido à vulnerabilidade do nosso sistema.”
O representante da GDS acrescentou: “Como sabemos, um único cliente não redefiniu uma das senhas de sua conta para este aplicativo que pertencia a um ex-funcionário deles. Essa é a razão pela qual forçamos recentemente uma redefinição de senha para todos os usuários. Acreditamos que este seja um evento isolado. Não é resultado de hackers invadindo nosso sistema de segurança.”
A STT GDC informou que recebeu uma notificação em janeiro sobre novas ameaças aos portais de atendimento ao cliente em “nossas regiões da Índia e da Tailândia”. “Nossas investigações até o momento indicam que não houve perda de dados ou impacto em nenhum desses portais de atendimento ao cliente”, disse a empresa.
No final de janeiro, depois que GDS e STT GDC mudaram as senhas dos clientes, a Resecurity detectou os hackers postando os bancos de dados para venda em um fórum da dark web, em inglês e chinês, de acordo com Yoo.
“Os bancos de dados contêm informações do cliente, podem ser usados para phishing, acesso a armários, monitoramento de pedidos e equipamentos, pedidos remotos”, afirmou o post. “Quem pode ajudar com phishing direcionado?”
Mais lidos na Bloomberg Businessweek
© 2023 Bloomberg LP
Fonte: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html