Um documento publicado no Pastebin indica que empresas da Holding Jeaholding sofreram um vazamento de dados massivo, afirma o Defcon Lab. Segundo o hacker RobinHood, que assinou o ataque, o vazamento incluiu 270 GB de dados (emails mais base de dados).
Precisamos montar um plano de ação urgente, pois estão saindo muitas reportagens sobre o assunto e estou começando a ficar com medo
Entre as empresas afetadas, estão: Assert, Stormtech, Fontes Seguros, PassePag, Deu Crédito, Fontes Promotora, Dinamo Promotora, Sim Cash, Retentiva e Medeiros Santos Advogados Associados.
De acordo com o hacker, “a publicação revela o que parece ser um conluio nefasto em que empresas privadas (Holding Jeaholding, Assert) comercializam dados pessoais (incluindo financeiros) da população brasileira”.
Posicionamento recebido pelo TecMundo:
A J&A Soluções Inteligentes Multissetoriais acionou, na noite de ontem (20), todo seu departamento de Tecnologia de Informação e solucionou as tentativas de ataques cibernéticos nos sistemas das empresas da holding. Além da TI, a assessoria jurídica também foi alertada e, desde então, já está tomando as medidas legais cabíveis contra o ataque. A J&A tranquiliza seus colaboradores, clientes e parceiros, assegurando que todos os dados, sigilosos ou não, estão protegidos e nenhum dano ou prejuízo será refletido na atuação das empresas. A holding informa que até o momento não foi detectada divulgação de nenhum dado confidencial financeiro ou bancário e que todas as medidas contingenciais e corretoras de proteção, além de denúncia a falsos comentários online, estão em andamento.
A J&A reafirma que suas operações seguem normais, sem comprometimento dos seus sistemas e reforçando ainda mais a segurança de informação.
Trecho do email vazado
O vazamento de dados ainda trouxe alguns emails supostamente trocados entre os funcionários da Assert. Em um deles, o diretor comercial da Assert combina com o departamento jurídico maneiras de proteger a empresas caso exista uma investigação sobre os dados pessoais negociados: “Precisamos montar um plano de ação urgente, pois estão saindo muitas reportagens sobre o assunto e estou começando a ficar com medo”.
De acordo com o Defcon lab, “o arranjo [entre empresas] incluiria empresas subsidiárias responsáveis pela comercialização dos dados e a falsificação de negócios jurídicos com empresas para legitimar a origem dos dados. Essas ações foram tomadas como forma de proteção da empresa, formuladas com a consultoria especializada de renomados escritórios de advocacia brasileiros (os quais seriam especialistas em “proteção” de dados pessoais)”.
Constata-se que eles têm total ciência que não poderiam vender esses dados, inclusive fazendo a empresa de advocacia deles trabalhar numa garantia jurídica
“Através de uma rápida análise nos emails interno da empresa, constata-se que eles têm total ciência que não poderiam vender esses dados, inclusive fazendo a empresa de advocacia deles trabalhar numa garantia jurídica, envolvendo mentiras como contratos fakes entre empresas do grupo e de que essas informações são obtidas da navegação dos usuários nos sites e parceria com as outras empresas do grupo”, completa RobinHood.
No Pastebin, que já foi retirado do ar, era possível encontrar todos os detalhes e provas dos vazamentos. “De alguma forma eles possuem os dados de INSS de toda a população e eles vendem essa informação através dos sites http://consulta.plus/ e http://app.asserttecnologia.com.br/" , escreveu RobinHood. O hacker também ensinou como cidadãos podem checar dados de INSS expostos pelas empresas.
Vale notar que a Polícia Federal deflagrou hoje (21) a segunda fase da Operação Data Leak, que envolve o comércio ilegal de dados pessoais de brasileiros. As empresas que supostamente sofreram este vazamento não foram afetadas pela operação.
Captura por Defcon lab
Categorias
