30 julho 2019 23:18
Helena Bento
Jornalista
drew angerer/getty images
O banco norte-americano Capital One, alvo daquela que é já considerada “uma das maiores violações de dados da história da banca”, garante que não foram expostos números das contas dos cartões de crédito e que não considera provável uma fraude. Mas na verdade “não tem forma de saber se aconteceu ou vai acontecer, e ainda menos impedir isso”, explica o diretor de serviços de uma empresa de consultoria que presta serviços na área da segurança informática, incluindo a bancos, em Portugal
30 julho 2019 23:18
Helena Bento
Jornalista
Há uma mulher suspeita detida e a instituição bancária norte-americana Capital One, que foi recentemente alvo de um ataque informático que expôs dados pessoais de cerca de 106 milhões de pessoas, considerado já um dos maiores da história da banca, veio tentar descansar os clientes. Garantiu que não houve acesso aos números das contas dos cartões de crédito e que considera improvável que os dados tenham sido usados para algum tipo de fraude, mas as maiores consequências ainda podem estar para vir.
Em declarações ao Expresso, Ricardo Oliveira, diretor de Serviços e Consultoria da Eurotux, que presta serviços na área da segurança informática, tendo entre os seus clientes alguns bancos portugueses, refere que o banco em causa “apenas pode saber garantidamente, neste momento, que não houve movimentações financeiras, e não houve porque o sistema a que se acedeu não permitia fazê-las”, não tendo forma de saber “se os dados que foram extraídos do sistema do banco e colocados na Internet não vão ser, nos próximos dias ou semanas ou meses, utilizados para algum tipo de fraude”. Aliás, pode até acontecer que alguém, “se os dados colocados na Internet de forma pública forem suficientes, “tente forjar a identidade das pessoas que são clientes do banco”, e o banco, aí, “não tem forma de saber se aconteceu ou vai acontecer, e nem mesmo impedir isso”.
100 milhões de pessoas nos EUA e seis milhões no Canadá
O ataque informático aconteceu há alguns dias, mas só esta terça-feira o banco divulgou um comunicado a dar conta do sucedido e da dimensão do roubo de dados, que terá afetado cerca de 100 milhões de pessoas nos EUA e seis milhões no Canadá. No primeiro país, foram expostos 140 mil números de segurança social e 80 mil contas bancárias e, no segundo, cerca de um milhão de números da segurança social de clientes com cartões de crédito emitidos pelo Capital One.
De acordo com o banco, a suspeita de ter entrado no sistema no banco, entretanto identificada como Paige A. Thompson, uma engenheira informática de 33 anos, conseguiu “explorar uma vulnerabilidade de configuração” no sistema de segurança da aplicação online do banco. Posteriormente, acedeu ao servidor onde estavam armazenados os dados dos clientes. Além dos nomes e datas de nascimento, também conseguiu aceder a informações sobre créditos, saldos e histórico de pagamentos.
“Lamento profundamente o que aconteceu e peço sinceras desculpas pela preocupação causada por este incidente”, afirmou o presidente executivo do Capital One, Richard D. Fairbank, garantindo que o banco irá informar todos os clientes que foram afetados e monitorizar gratuitamente os seus créditos para garantir que ninguém será lesado pela falha de segurança. “Comprometo-me a corrigir esta situação”.
Uma “falha no processo”
Ricardo Oliveira explica noutros termos o que terá acontecido, referindo que, “neste caso em concreto, o que originou a brecha foi a aplicação de uma configuração errada a uma das tecnologias de segurança, que embora cumprisse a sua função como tecnologia de segurança, foi manuseada de forma a comportar-se de uma forma que não a adequada”. Ou seja, “alguém devidamente autorizado e credenciado terá configurado um dos mecanismos de segurança do banco de forma a ser muito mais permissivo do que deveria ser e essa configuração manteve-se sem que ninguém se tivesse apercebido de que não era a correta”.
“Não se trata de uma falha na tecnologia, mas sim de uma falha no processo, uma vez que este falhou ao permitir que alguém aplicasse a configuração sem que fosse verificado que era, de facto, a pretendida e a correta, e que não seriam expostos mais dados do que os suficientes”, diz ainda Ricardo Oliveira, explicando que “uma pessoa sozinha nunca poderia mudar aquela configuração sem que outra validasse primeiro”. E apesar de a “banca portuguesa, assim como toda a banca, estar obrigada a ter estes processos e de estes serem frequentemente revistos pelas entidades certificadoras”, há margem para erro.
“Estes problemas podem acontecer. Uma pessoa sozinha pode, em algumas circunstâncias, fazer isto se o problema não for controlado”. Mas com que intenção? “Nenhuma em particular”, sugere Ricardo Oliveira, que acredita ter sido algo “acidental”. “Não tornaram aquela ‘firewall’ demasiado permissiva para um atacante em concreto, mas sim para todo o mundo. O atacante é que, tendo-se apercebido daquele comportamento, tirou partido”. Qualquer outra pessoa, “nas mesmas circunstâncias e com o mesmo conhecimento, poderia ter feito o mesmo”.
Paige A. Thompson, ou “erratic” para os seus seguidores no Twitter
Foi o próprio banco que se apercebeu, a 17 de julho, da ‘invasão’ ao servidor onde estavam armazenados os dados dos clientes — e apercebeu-se depois de ter recebido um e-mail com o link para a página de Paige A. Thompson no GitHub (uma plataforma que permite aos programadores alojarem os seus projetos e que também funciona como a sua rede social), da qual constavam ficheiros que tinham sido aparentemente roubados do banco.
Assim explicou em conferência de imprensa um agente do FBI que trabalha na área da cibersegurança, Joel Martini. Segundo este perito, a própria “hacker”, que no Twitter se apresentava como “erratic”, fez questão de, pela mesma altura, revelar noutra plataforma ter acedido a informação sobre clientes do Capital One. Paige A. Thompson foi detida na segunda-feira e acusada de crime informático, abuso e fraude. Será ouvida em tribunal na próxima quinta-feira e enfrenta uma pena de prisão de até cinco anos e uma multa no valor de 250 mil dólares (225 mil euros).
Pouco se sabe sobre a “hacker”, excepto que trabalhou como engenheira informática em várias empresas nos últimos anos, sendo a mais recente a Amazon Web Service, a plataforma que acolhe a base de dados do Capital One e onde trabalhou de maio de 2015 a setembro de 2016, de acordo com o seu currículo online. Um porta-voz da empresa confirmou, entretanto, que uma antiga funcionária foi detida na sequência da investigação sobre o roubo de dados, mas disse não ter sido detetado qualquer problema na plataforma.
Quão comuns são os ataques informáticos como o ocorrido? Ricardo Oliveira diz que já “aconteceram antes” e que são “muito frequentes” em organizações que não são obrigadas a ter certificações de segurança”. “Confia-se que determinada pessoa vai fazer determinada tarefa e vai fazê-la bem, ponderando todas as consequências”, o que não é o caso “da banca, saúde e entidades financeiras, que estão sujeitas a este tipo de controlo e certificações”, em Portugal e em todos os outros países. “Aí é muito pouco provável porque se controla mesmo muito este tipo de procedimentos, são os mais controlados aliás, verifica-se antes e verifica-se depois”.
No geral, explica Ricardo Oliveira, os “atacantes procuram vulnerabilidades, isto é, falhas nos sistemas ou nas aplicações, seja realizando análises de vulnerabilidades ou testes de intrusão”, existindo para ambos os tipos de ataques mecanismos e procedimentos que ajudam a detetar e/ou bloquear comportamentos suspeitos, sendo os “mais utilizados os sistemas de deteção e/ou prevenção de intrusão”.