Em um episódio que ressalta a vulnerabilidade das redes globais de computadores, hackers obtiveram credenciais de login para data centers na Ásia usados por algumas das maiores empresas do mundo, uma bonança potencial para espionagem ou sabotagem, de acordo com uma empresa de pesquisa de segurança cibernética.
Os caches de dados não relatados anteriormente envolvem e-mails e senhas para sites de suporte ao cliente de duas das maiores operadoras de data centers da Ásia: GDS Holdings e Centros de dados globais da ST Telemedia com sede em Cingapura , de acordo com Resecurity Inc., que fornece serviços de segurança cibernética e investiga hackers. Cerca de 2.000 clientes da GDS e STT GDC foram afetados. Os hackers acessaram as contas de pelo menos cinco deles, incluindo a principal plataforma de negociação de câmbio e dívida da China e outras quatro da Índia, de acordo com a Resecurity, que disse ter se infiltrado no grupo de hackers.
Não está claro o que-se alguma coisa-os hackers fizeram com os outros logins. As informações incluíam credenciais em números variados para algumas das maiores empresas do mundo, incluindo Alibaba Group Holding, Amazon.com, Apple, BMW AG, Goldman Sachs Group, Huawei Technologies, Microsoft e Walmart, de acordo com a empresa de segurança e centenas de páginas. de documentos que a Bloomberg revisou.
Respondendo a perguntas sobre as descobertas da Resecurity, GDS disse em um comunicado que um site de suporte ao cliente foi violado em 2021. Não está claro como os hackers obtiveram os dados STT GDC. Essa empresa disse que não encontrou evidências de que seu portal de atendimento ao cliente tenha sido comprometido naquele ano. Ambas as empresas disseram que as credenciais não autorizadas não representavam um risco para os sistemas de TI ou dados dos clientes.
No entanto, a Resecurity e os executivos de quatro grandes empresas com sede nos Estados Unidos que foram afetadas disseram que as credenciais roubadas representavam uma situação incomum e perigo sério, principalmente porque o site de suporte ao cliente controla quem tem permissão para acessar fisicamente o equipamento de TI alojado nos data centers. Esses executivos, que souberam dos incidentes pela Bloomberg News e corroboraram as informações com suas equipes de segurança, pediram para não serem identificados porque não estavam autorizados a falar publicamente sobre o assunto.
A magnitude dos dados A perda relatada pela Resecurity destaca o risco crescente que as empresas enfrentam por causa de sua dependência de terceiros para armazenar dados e equipamentos de TI e ajudar suas redes a alcançar mercados globais. Especialistas em segurança dizem que o problema é particularmente grave na China, que exige que as empresas façam parcerias com provedores de serviços de dados locais.
“Este é um pesadelo prestes a acontecer”, disse Michael Henry, ex-diretor de informações da Digital Realty Trust, uma das maiores operadoras de data centers dos Estados Unidos, ao ser informada sobre os incidentes pela Bloomberg. (A Digital Realty Trust não foi afetada pelos incidentes). O pior cenário para qualquer operador de data center é que os invasores de alguma forma obtenham acesso físico aos servidores dos clientes e instalem códigos maliciosos ou equipamentos adicionais, disse Henry. “Se eles conseguirem isso, eles podem interromper as comunicações e o comércio em grande escala.”
GDS e STT GDC disseram que não tinham indicação de que algo assim tivesse acontecido e que seus serviços principais não eram impactado.
Os hackers tiveram acesso às credenciais de login por mais de um ano antes de colocá-las à venda na dark web no mês passado, por US$ 175.000 (quase Rs. 1,45 crore), dizendo que estavam sobrecarregados com o volume dele, de acordo com a Resecurity e uma captura de tela da postagem revisada pela Bloomberg.
“Usei alguns alvos”, disseram os hackers na postagem. “Mas incapaz de lidar com o número total de empresas superior a 2.000.”
Os endereços de e-mail e senhas podem ter permitido que hackers se disfarçassem como usuários autorizados nos sites de atendimento ao cliente, de acordo com a Resecurity. A empresa de segurança descobriu os caches de dados em setembro de 2021 e disse que também encontrou evidências de que os hackers os estavam usando para acessar contas de clientes GDS e STT GDC em janeiro, quando os dois operadores de data center forçaram a redefinição de senha do cliente, de acordo com a Resecurity.
Mesmo sem senhas válidas, os dados ainda seriam valiosos-permitindo que hackers criem e-mails de phishing direcionados contra pessoas com acesso de alto nível às redes de suas empresas, de acordo com a Resecurity.
A maioria das empresas afetadas contatadas pela Bloomberg News, incluindo Alibaba, Amazon, Huawei e Walmart, se recusaram a comentar. A Apple não respondeu às mensagens solicitando comentários.
Em um comunicado, a Microsoft disse: “Monitoramos regularmente as ameaças que podem afetar a Microsoft e, quando ameaças potenciais são identificadas, tomamos as medidas apropriadas para proteger a Microsoft e nossos clientes..” Um porta-voz do Goldman Sachs disse: “Temos controles adicionais para proteger contra esse tipo de violação e estamos satisfeitos por nossos dados não estarem em risco.”
A montadora BMW disse que estava ciente do emitir. Mas um porta-voz da empresa disse: “Após a avaliação, o problema tem um impacto muito limitado nos negócios da BMW e não causou danos aos clientes da BMW e informações relacionadas ao produto”. O porta-voz acrescentou: “A BMW instou a GDS a melhorar o nível de segurança da informação.”
GDS e STT GDC são dois dos maiores fornecedores de serviços de “colocação” da Ásia. Eles agem como proprietários, alugando espaço em seus data centers para clientes que instalam e gerenciam seus próprios equipamentos de TI lá, geralmente para ficarem mais próximos dos clientes e das operações de negócios na Ásia. A GDS está entre os três principais provedores de colocation na China, o segundo maior mercado para o serviço no mundo depois dos EUA, de acordo com o Synergy Research Group, Cingapura ocupa o sexto lugar.
As empresas também estão entrelaçados: a registro corporativo mostra que, em 2014, a Singapore Technologies Telemedia Pte, controladora da STT GDC, adquiriu uma participação de 40% na GDS.
Resecurity Chief Executive Officer Gene Yoo disse que sua empresa descobriu os incidentes em 2021, depois que um de seus agentes se disfarçou para se infiltrar em um grupo de hackers na China que atacou alvos do governo em Taiwan.
Logo depois, alertou GDS e STT GDC e um pequeno número de clientes Resecurity que foram impactados, de acordo com Yoo e os documentos.
Resecurity notificou GDS e STT GDC novamente em janeiro depois de descobrir os hackers acessando contas, e a empresa de segurança também alertou autoridades na China e Cingapura na época, de acordo com Yoo e os documentos.
Ambos os operadores de data centers disseram que responderam prontamente quando notificados sobre os problemas de segurança e iniciaram investigações internas.
Cheryl Lee, porta-voz da Cyber Security Agency of Singapore, disse que a agência “está ciente do incidente e está auxiliando a ST Telemedia neste assunto”. A Equipe Técnica/Centro de Coordenação de Resposta a Emergências da Rede Nacional de Computadores da China, uma organização não governamental que lida com resposta a emergências cibernéticas, não respondeu às mensagens solicitando comentários.
GDS reconheceu que um site de suporte ao cliente foi violado e disse que investigou e corrigiu uma vulnerabilidade no site em 2021.
“O aplicativo visado pelos hackers é limitado em escopo e informações a funções de serviço não críticas, como fazer solicitações de emissão de bilhetes, agendar a entrega física de equipamentos e revisar relatórios de manutenção”, de acordo com uma empresa declaração. “As solicitações feitas por meio do aplicativo geralmente exigem acompanhamento e confirmação off-line. Dada a natureza básica do aplicativo, a violação não resultou em nenhuma ameaça às operações de TI de nossos clientes.”
STT GDC disse que trouxe especialistas externos em segurança cibernética quando soube do incidente em 2021. “ O sistema de TI em questão é uma ferramenta de tíquetes de atendimento ao cliente”e”não tem conexão com outros sistemas corporativos nem qualquer infraestrutura de dados críticos”, disse a empresa.
A empresa disse que seu portal de atendimento ao cliente não foi violado em 2021 e que as credenciais obtidas pela Resecurity são “uma lista parcial e desatualizada de credenciais de usuários para nossos aplicativos de tíquetes de clientes. Esses dados agora são inválidos e não representam um risco de segurança daqui para frente.”
“Nenhum acesso não autorizado ou perda de dados foi observado”, de acordo com a declaração da STT GDC.
Independentemente de como os hackers podem ter usado as informações, especialistas em segurança cibernética disseram que os roubos mostram que os invasores estão explorando novas maneiras de se infiltrar em alvos difíceis.
A segurança física dos equipamentos de TI em data centers de terceiros e os sistemas de controle o acesso a ela representa vulnerabilidades que muitas vezes são negligenciadas pelos departamentos de segurança corporativa, disse Malcolm Harkins, ex-chefe de segurança e oferta de privacidade da Intel. Qualquer adulteração do equipamento do data center “poderia ter consequências devastadoras”, disse Harkins.
Os hackers obtiveram endereços de e-mail e senhas de mais de 3.000 pessoas na GDS-incluindo seus próprios funcionários e os de seus clientes-e mais mais de 1.000 da STT GDC, de acordo com os documentos analisados pela Bloomberg News.
Os hackers também roubaram credenciais para a rede GDS de mais de 30.000 câmeras de vigilância, a maioria das quais dependia de senhas simples, como”admin”ou “admin12345”, mostram os documentos. O GDS não respondeu a uma pergunta sobre o suposto roubo de credenciais para a rede da câmera ou sobre as senhas.
O número de credenciais de login para os sites de suporte ao cliente variava para diferentes clientes. Por exemplo, havia 201 contas no Alibaba, 99 na Amazon, 32 na Microsoft, 16 no Baidu, 15 no Bank of America, sete no Bank of China, quatro na Apple e três no Goldman, de acordo com os documentos. Yoo, da Resecurity, disse que os hackers só precisam de um endereço de e-mail e senha válidos para acessar a conta de uma empresa no portal de atendimento ao cliente.
Entre as outras empresas cujos detalhes de login dos funcionários foram obtidos, de acordo com a Resecurity e os documentos, foram: Bharti Airtel na Índia, Bloomberg LP (dona da Bloomberg News), ByteDance, Ford Motor, Globe Telecom nas Filipinas, Mastercard, Morgan Stanley, Paypal Holdings, Porsche AG, SoftBank, Telstra Group na Austrália, Tencent Holdings, Verizon Communications and Wells Fargo & Co.
Em um comunicado, a Baidu disse: “Não acreditamos que nenhum dado tenha sido comprometido. A Baidu presta muita atenção para garantir a segurança dos dados de nossos clientes. Vamos ficar de olho em assuntos como este e permanecer alerta para qualquer ameaça emergente à segurança de dados em qualquer parte de nossas operações.”
Um representante da Porsche disse: “Neste caso específico, temos nenhuma indicação de que havia algum risco.” Um representante do SoftBank disse que uma subsidiária chinesa parou de usar o GDS no ano passado. “Nenhum vazamento de dados de informações do cliente da empresa local da China foi confirmado, nem houve qualquer impacto em seus negócios e serviços”, disse o representante.
Um porta-voz da Telstra disse: “Não temos conhecimento de qualquer impacto nos negócios após essa violação”, enquanto um representante da Mastercard disse: “Embora continuemos monitorando essa situação, não temos conhecimento de nenhum risco para nossos negócios ou impacto em nossa rede ou sistemas de transações”.
Um representante da Tencent disse: “Não temos conhecimento de nenhum impacto nos negócios após essa violação. Gerenciamos nossos servidores dentro dos data centers diretamente, com os operadores das instalações do data center sem acesso a nenhum dado armazenado nos servidores da Tencent. Não descobrimos nenhum acesso não autorizado de nossos sistemas e servidores de TI após investigação, que permanecem seguros e protegidos.”
Um porta-voz da Wells Fargo disse que usou o GDS para infraestrutura de TI de backup até dezembro de 2022. “O GDS fez não têm acesso aos dados, sistemas ou rede da Wells Fargo”, disse a empresa. As outras empresas se recusaram a comentar ou não responderam.
Yoo, da Resecurity, disse que em janeiro, o agente secreto de sua empresa pressionou os hackers para uma demonstração de se eles ainda tinham acesso às contas. Os hackers forneceram capturas de tela mostrando-os acessando contas de cinco empresas e navegando em páginas diferentes nos portais online GDS e STT GDC, disse ele. A ressegurança permitiu que a Bloomberg News analisasse essas capturas de tela.
Na GDS, os hackers acessaram uma conta do China Foreign Exchange Trade System, um braço do banco central da China que desempenha um papel fundamental na economia daquele país, operando o principal plataforma de negociação de câmbio e dívida do governo, de acordo com as capturas de tela e Resecurity. A organização não respondeu às mensagens.
Na STT GDC, os hackers acessaram contas da National Internet Exchange of India, organização que conecta provedores de internet em todo o país, e outras três sediadas na Índia: MyLink Services, Skymax Broadband Services e Logix InfoSecurity, mostram as capturas de tela.
Procurada pela Bloomberg, a National Internet Exchange of India disse que não estava ciente do incidente e se recusou a fazer mais comentários. Nenhuma das outras organizações na Índia respondeu aos pedidos de comentários.
Perguntado sobre a alegação de que hackers ainda estavam acessando contas em janeiro usando as credenciais roubadas, um representante da GDS disse: “Recentemente, detectamos vários novos ataques de hackers usando as informações de acesso à conta antiga. Usamos várias ferramentas técnicas para bloquear esses ataques. Até agora, não encontramos nenhuma nova invasão bem-sucedida de hackers devido à vulnerabilidade do nosso sistema.”
O representante da GDS acrescentou: “Como sabemos, um único cliente não reiniciou uma de suas senhas de conta para este aplicativo que pertencia a um ex-funcionário deles. Essa é a razão pela qual forçamos recentemente uma redefinição de senha para todos os usuários. Acreditamos que este seja um evento isolado. Não é resultado de hackers invadindo nosso sistema de segurança.”
STT GDC disse que recebeu notificação em janeiro de novas ameaças a portais de atendimento ao cliente em “nossas regiões da Índia e Tailândia”. “Nossas investigações até o momento indicam que não houve perda de dados ou impacto em nenhum desses portais de atendimento ao cliente”, disse a empresa.
No final de janeiro, depois que GDS e STT GDC alteraram as senhas dos clientes, a Resecurity flagrou os hackers postando os bancos de dados para venda em um fórum da dark web, em inglês e chinês, de acordo com Yoo.
“DBs contêm informações de clientes, podem ser usados para phishing, acesso a armários, monitoramento de pedidos e equipamentos, pedidos remotos”, afirmou o post. “Quem pode ajudar com phishing direcionado?”
Os links de afiliados podem ser gerados automaticamente-consulte nossa declaração de ética para obter detalhes.
Para obter detalhes sobre os últimos lançamentos e novidades da Samsung, Xiaomi, Realme, OnePlus, Oppo e outras empresas no Mobile World Congress em Barcelona, visite nosso hub MWC 2023.