Um hacker, que se identifica como "Rey", está a ameaçar divulgar um volume massivo de 106 GB de dados que alega ter roubado da gigante espanhola de telecomunicações, a Telefónica. A empresa, até ao momento, não reconheceu publicamente a ocorrência desta nova falha de segurança. Para provar a veracidade das suas alegações, o atacante já publicou um arquivo de 2.6 GB que, após descompressão, revela 5 GB de dados distribuídos por mais de 20.000 ficheiros.
A prova do ataque e a cronologia dos eventos
Segundo o hacker, o ataque ocorreu no dia 30 de maio, tendo conseguido exfiltrar dados da empresa durante 12 horas ininterruptas antes de o seu acesso ser revogado. "Rey" é um membro conhecido do grupo de ransomware Hellcat, que já tinha sido responsável por um outro ataque à Telefónica em janeiro, explorando uma vulnerabilidade no seu servidor interno de desenvolvimento Jira.
Em declarações ao BleepingComputer, o atacante afirmou ter roubado 385.311 ficheiros, num total de 106.3 GB, contendo comunicações internas como tickets e e-mails, ordens de compra, registos internos, dados de clientes e informações de funcionários.
Uma falha de segurança recorrente?
O atacante alega que esta nova intrusão só foi possível devido a uma má configuração do mesmo servidor Jira, que não terá sido devidamente corrigida após o ataque de janeiro. Apesar das múltiplas tentativas de contacto desde 3 de junho, tanto por e-mail como diretamente a executivos de topo, a Telefónica não emitiu qualquer comunicado oficial sobre a alegada falha de segurança de maio.
A única resposta obtida veio de um funcionário da Telefónica O2 (a marca da empresa no Reino Unido e Alemanha), que desvalorizou o incidente, classificando-o como uma tentativa de extorsão com base em informações antigas de um ataque já conhecido.
O silêncio da Telefónica e as pistas nos ficheiros
A análise aos ficheiros de amostra partilhados pelo hacker revela faturas de clientes empresariais em países como Hungria, Alemanha, Espanha, Chile e Peru. Foram também encontrados endereços de e-mail de funcionários em Espanha, Alemanha, Peru, Argentina e Chile.
Contudo, um detalhe parece suportar a versão não-oficial da empresa: o ficheiro mais recente encontrado na amostra data de 2021. Ainda assim, o hacker insiste que os dados provêm de um novo ataque. Para reforçar a sua posição, publicou uma parte dos dados com a seguinte mensagem:
"Uma vez que a Telefónica tem negado uma recente falha de 106 GB contendo dados da sua infraestrutura interna, estou a libertar 5 GB aqui como prova. Em breve, publicarei a árvore de ficheiros completa e, nas próximas semanas, se a Telefónica não cumprir, o arquivo completo será divulgado."
Inicialmente, os dados foram distribuídos através do serviço PixelDrain, mas foram rapidamente removidos. O hacker recorreu então a outros serviços, incluindo o Kotizada, que é sinalizado como perigoso pelo Google Chrome. Enquanto a Telefónica não emitir um comunicado oficial, a dúvida permanece. No entanto, o BleepingComputer confirmou que alguns dos endereços de e-mail na fuga de informação pertencem a funcionários atualmente ativos na empresa.
HellCat: um grupo com um alvo bem definido
O grupo HellCat não é novo no panorama da cibersegurança e tem um foco particular em atacar servidores Jira. São responsáveis por múltiplos ataques a empresas de alto perfil, tendo já reivindicado a autoria de ataques bem-sucedidos a companhias como a Ascom, Jaguar Land Rover, Affinitiv, Schneider Electric e o Grupo Orange.
Nenhum comentário
Seja o primeiro!