A partir de um levantamento na busca por computadores vulneráveis, a CySource, centro de referência e pesquisa em cibersegurança israelense, identificou a exposição de dados em mais de 100 mil veículos de uma multinacional que possui atuação no Brasil, especializada em rastreamento por GPS e gerenciamento de frota, a Uffizio.
As informações obtidas permitiam identificar o proprietário pela placa do automóvel em diversos países e interromper o seu percurso no meio da rua, além de fechar e abrir portas, desconectar sistemas e até ouvir a conversa das pessoas dentro dos carros.
Com a exposição de um arquivo conhecido como JSON (Notação de Objetos JavaScript), detalhes de um banco de dados espalhados por 20 países, localizados em 50 computadores diferentes, poderiam ter sido acessados facilmente por hackers mal-intencionados.
A falta de proteção e atualização das máquinas, na época realizada com padrões antigos, resultou no risco de vazamento de dados dos revendedores e, com eles, informações pessoais da carteira de clientes.
A interface no gerenciamento da frota de veículos também poderia ter sido vítima dos ataques. “A falha possibilitaria que os hackers enviassem mensagens para o GPS, em forma de comandos, para também descontinuar o monitoramento”, explica Rustam Amin, hacker ético da CySource.
Segundo ele, após uma avaliação detalhada da infraestrutura das soluções fornecidas pela Izzio ao redor do mundo, foram detectadas as implantações de produtos hospedados nas máquinas.
“Revertemos a situação ao bloquear o vazamento do JSON até a sua completa remoção. Por fim, recomendamos que as verificações e melhora da segurança do produto seja prioridade para a empresa após esse susto”, aponta Rustam Amin.
Além do Brasil, a falha ocorreu no Chile, Colômbia, Quênia, Índia, México, Catar, Nepal, Reino Unido, Gana, Arábia Saudita, Omã, Dubai, Tanzânia, EUA, Finlândia, Alemanha, Irlanda, Nepal e Holanda.
Sobre a CySource
Fundada por veteranos israelenses das forças de defesa militar de Israel e da NSO Group, empresa líder da indústria de segurança cibernética.
Após anos estabelecendo academias de segurança cibernética para organizações militares, HLS, empresas e organizações financeiras em todo o mundo, reunimos o feedback de inúmeros clientes e usamos nossa sólida experiência para construir a melhor plataforma de educação e treinamento em segurança cibernética baseada em IA do mundo.