A Unick Forex foi hackeada e os dados de 36 mil clientes vazaram na rede. Os hackers da BGV Team criaram um site para expor as informações. O domínio atualmente encontra-se fora do ar, mas já foi re-upado em novo endereço.
O Portal do Bitcoin entrou em contato com os hackers, pelo e-mail divulgado no site. Eles afirmam que há dados de mais de 100 mil clientes, os quais serão expostos caso a empresa não pague os 4 bitcoins que estão sendo pedidos.
O grupo afirma, por meio desse novo site, que criou “uma estrutura mais sofisticada para apresentar os conteúdos” uma vez que teve uma quantidade gigantesca de acesso nos últimos dias, motivo pelo qual o primeiro site saiu do ar.
O problema com os dados vazados é que, independentemente do tempo que fique no ar, um número incalculável de pessoas terá acesso a isso e, futuramente, pode se utilizar deles acarretando prejuízo para esses clientes.
O Portal do Bitcoin não divulgará os endereços e nem a lista vazada em respeito às vítimas do vazamento.
Unick vulnerável
Um dos hackers da BGV, que não se identificou, apresentou provas de que está com os dados de acesso do antigo e-mail — [email protected] — que era usado para enviar a nova senha e a senha financeira quando alguém requisitava.
O grupo divulgou os dados de 36 mil clientes, inicialmente, mas eles prometeram divulgar dos demais clientes caso a Unick Forex não pague a eles 4 bitcoins, o que ainda não aconteceu pois a carteira anunciada para o depósito de bitcoins ainda se encontra vazia.
“O prazo não tem uma data de expiração, não por enquanto, pelo menos. Pois colocamos duas “modalidades”. Se alguém quiser depositar os 4BTC (Não nos importa se é a Unick ou não), retiraremos os arquivos do ar e excluiremos o que temos, caso alguém queira retirar seus dados pessoais, também pode fazer o pagamento do valor simbólico e este valor será somado para ‘bater a meta’ de 4BTC.”
O grupo BGV afirma que entrou em contato com a empresa, por meio do suporte deles e via e-mail, mas não tem obtido resposta.
“Temos os contatos pessoais de cada funcionário/chefia, mas estamos tentando ter algum canal de comunicação via ticket do suporte deles e via email. Por enquanto eles estão apenas não respondendo, mesmo tendo visualizado”.
Sistema fraco
De acordo com o invasor, o sistema da Unick Forex não tinha um bom nível de segurança, “muitos utilizam senhas fracas como 1234,123456” e isso facilitou muito o hackeamento.
“foi um dos serviços mais fáceis que tivemos, não vou entrar em detalhes sobre a vulnerabilidade, mas foi algo bem simples. Qualquer um que tenha o mínimo de conhecimento sobre Segurança Web e criatividade teria conseguido”, afirma.
Segundo o grupo, a segurança estaria sendo feita pelo próprio Israel (Nogueira)— diretor do departamento de tecnologia e comunicação — que tentava blindar o sistema. “A empresa ‘top 1’ que eles citam não existe”, afirma.
Os hackers da BGV ainda desmentiram a história contada pelos diretores de que a empresa tem sido vítima de milhões de ataques hackers e revelou que há quatro meses vem coletando esses dados.
“Eles citam que recebem milhões de ataques por dia. Bom, estamos no sistema deles a cerca de 4 meses, coletando dados e estávamos acompanhando os logs, eles não eram alvo de ninguém”.
Palavra do especialista
Em face desse problema, a reportagem conversou com o Leandro Trindade, Consultor de Segurança da Informação na X-15 Tech. Ele afirma que o vazamento é real e que pelo nível de informação, o pessoal da BGV, só pode ter conseguido a senha do administrador e suporte.
Trindade disse:
“Guardar as senhas em plaintext (texto sem criptografia) é de uma irresponsabilidade tremenda e deveria ser punível criminalmente. Sabemos que mesmo sendo contra-indicado os usuários reusam senhas em diversas plataformas e esse vazamento ainda irá causar danos colaterais aos clientes”.
Os possíveis danos que Trindade se refere é a comercialização dos dados na Deep Web. Com US$ 5 se compra uma documentação de outra pessoa no mercado negro.
Com essa documentação em mãos, o criminoso pode abrir uma conta numa corretora em nome daquele que teve seus dados vazados e assim lavar dinheiro. Sem contar que é possível abrir contas e até fazer cartão de crédito no nome delas.
Trindade, contudo, disse que nem todos os dados estão completos pois a pessoa não concluiu seu cadastro na empresa. Dos 36 mil dados — que já foram vazados— apenas 3.600 não estão completos. A venda desses dados na Deep Web poderia dar em torno de 150 mil dólares para o hacker que comercializá-los, conforme explica Trindade.
Dever de indenizar
Daniel Becker, advogado do escritório Lima Feigelson, afirma que a empresa tem de adotar todas as medidas de segurança possíveis e recomendáveis para melhor proteger os dados de seus clientes.
“Uma vez que ela requer esses dados para execução de algum contrato, pela teoria do risco, ela que vai ser responsável por guardar esses dados e manter eles seguros”.
Becker disse que o vazamento de dados traz para a empresa a responsabilidade em indenizar o cliente por qualquer dano sofrido, inclusive o moral que se presume pelo próprio vazamento.
O advogado afirma que apesar de ser “quase impossível se evitar um ataque cibernético na medida em que a tecnologia evolui”, a empresa tem de provar que usou das melhores práticas de cibersegurança.
“De forma preventiva é importante que uma empresa tenha uma política de cibersegurança e um plano de resposta incidente. Após a ocorrência do incidente, deve ser avaliado qual foi a brecha, mapear os dados que foram vazados para comunicar aos titulares sobre o vazamento, além de resolver esse problema de segurança para que não ocorram novos casos”.
Proteção legal
Apesar de não haver uma autoridade nacional de proteção de dados e a Lei Geral de Proteção de Dados só passe a vigorar em agosto de 2020, Becker afirma que o ordenamento jurídico brasileiro já tem respostas para esse tipo de problema.
“A Constituição da República, o Código de Defesa do Consumidor e o Marco Civil da Internet possuem diversas previsões que asseguram o direito aos titulares dos dados, para que eles sejam usados com respeito”.
Para o advogado Filipe Porto, do escritório Pereira, Porto e Penedo, poderia até haver uma excludente de ilicitude (o que afastaria a responsabilidade civil em reparar o dano), mas para isso a empresa teria de provar que a invasão era inevitável.
“Se a empresa conseguir comprovar que independente de seus esforços, o hacker conseguiria entrar de todo modo, ela poderia tentar a excludente de ilicitude. Mas cabe ao detentor das informações (a empresa) comprovar que tinha a última geração de proteção”.
Ataques semelhantes
Essa não é a primeira empresa a experimentar uma invasão em seus sistemas. O caso mais recente foi o da Exchange Coinmama. Há menos de um mês, a corretora de criptomoedas foi hackeada e 450 mil usuários foram afetados.
Antes disso, em agosto de 2018, a plataforma Atlas Quantum teve lista de de 264 mil clientes divulgada. Entre os nomes mais conhecidos estavam o do Rocelo Lopes, Ceo da Stratum; e do jornalista Leandro Narloch, colunista da Folha e autor de alguns dos livros da série Guia do Politicamente Incorreto.
Em agosto de 2018, Leandro Trindade, em um dos artigos escritos para o Portal do Bitcoin, trouxe dicas para o usuário se proteger ao máximo caso ocorra um tipo de problema semelhante. Uma das dicas apontadas por Trindade é não ter a mesma senha para tudo.
A reportagem entrou em contato com Fernando Lusvarghi, diretor jurídico da empresa, mas não obteve resposta até o fechamento dessa matéria.
- Leia também: Unick Forex acusa a imprensa de espalhar notícias falsas
- Duas cripmoedas valorizaram mais de 100% nas últimas horas
- Bitcoin e Criptomoedas são aceitos em mais de 20 lojas em shopping de Florianópolis