Exclusivo: vulnerabilidade em sistema de corretagem permite acessar dados de clientes

Um famoso software-as-a-service (SaaS) de corretagem, utilizado por diversas corretoras brasileiras e com integração direta com as maiores seguradoras do país, deixou expostas as credenciais de seus utilizadores, apurou a The Hack com exclusividade.

Estamos falando do Quiver MAX, solução multicálculo da Quiver, empresa que nasceu em 2018 depois da fusão entre as bem-sucedidas Sistemas Seguros e a Virtual Softwares para Seguros. A denúncia partiu de um pesquisador de segurança identificado simplesmente como Renato “hex0x42424242”.

Um dos problemas estava na má-configuração de um ambiente Elastic integrado ao SaaS: o cluster, cuja função era registrar logs de acesso ao sistema (através da ferramenta Logstash), estava público, permitindo o livre acesso por qualquer internauta que soubesse a sua URL. Lá, era possível navegar por um total de aproximadamente 60 GB de logs sensíveis, incluindo as senhas dos corretores em hash.

Credenciais dos corretores eram registradas em ambiente vulnerável, com senha disponível em hash 

A partir daí, temos um segundo problema: Renato descobriu que, analisando a página de login do sistema, era possível descobrir o método de criptografia utilizado e fazer o reverso das hashes, obtendo então as senhas registradas para acessar o sistema de corretagem. Uma vez dentro do SaaS, bastava navegar pela carteira de clientes do corretor e obter uma série de informações pessoais, incluindo nome completo, CPF, email, data de nascimento, telefones (fixo e celular), endereço, profissão e detalhes do veículo (placa e chassi).

Grande impacto

É difícil estimar a total dimensão do vazamento — Renato afirma ter encontrado aproximadamente 21,8 mil credenciais (ou seja, 21,8 mil corretores) registradas em log. Isto posto, se cada corretor tiver uma cartela de 100 clientes — por exemplo —, estamos falando da possibilidade de acessar informações pessoais de 2,1 milhões de cidadãos que possuem um carro, um caminhão ou um imóvel segurado. Contudo, é importante lembrar que esse número não é absoluto, pois o Logstash também registra repetições.

Para fins de teste, a The Hack utilizou três credenciais para explorar o painel de corretagem de três corretores diferentes, e conseguiu acessar dados sensíveis com extrema facilidade. Em um dos casos, foi possível visualizar informações pessoais de um policial aposentado, descobrindo detalhes de seu veículo (um Ford Fusion Titanium ano-modelo 2015) e até detalhes de seus hábitos cotidianos (CEP de pernoite do automóvel, tipo de residência, tipo do portão e CEP de circulação).

Exemplo de cadastro de segurado

Esse tipo de informação pode ser usada para diversas finalidades, incluindo a aplicação de fraudes direcionadas e altamente customizadas (como entrar em contato com a vítima em nome da seguradora e convencê-la a realizar algum pagamento) até crimes contra a integridade física (sabendo a profissão e os CEPs de pernoite e de circulação do carro, fica fácil prever o cotidiano de um alvo e montar um plano para assaltá-lo, por exemplo). Vale lembrar que os corretores também podem ser vítimas de golpes de extorsão e phishing.

Painel de controle do corretor permite acessar dados pessoais de civis

Como bem observado por Renato — em um dos emails trocados com a nossa equipe —, tal vazamento de dados pode ter uma série de consequências à Quiver, incluindo prejuízos financeiros e processos judiciais. A própria empresa, em materiais promocionais, afirma ser líder de mercado no setor de softwares para corretagem e se vangloria de ter uma base de clientes finais estimada em 5,8 milhões de brasileiros. O SaaS é integrado com, por exemplo, Bradesco Seguros, Tokio Marine, Zurich, Allianz, Liberty, Porto e SulAmérica.

O que foi feito?

A má-configuração de servidores e ambientes na nuvem é, como já dissemos várias vezes aqui na The Hack, um dos principais problemas de segurança de 2019. No caso, trata-se de mais um problema em um cluster do Elasticsearch, solução utilizada para facilitar a busca por dados em texto em um servidor com grande volume de informações.

O ambiente da Quiver estava ainda integrado com outras duas ferramentas: o Logstash, usado para registrar logs, e o Kibana, empregado para visualizar esses dados na forma de gráficos.

Ambiente Elastic vulnerável estava conectado a duas soluções: Logstash e Kibana

Além das credenciais, o ambiente Elastic vulnerável também registrava outras informações sensíveis a respeito do SaaS, incluindo data, hora, endereço IP e cliente (tipo de dispositivo, sistema operacional, navegador etc.) das máquinas utilizadas para acessá-lo.

A Quiver foi notificada por Renato no dia 8 de outubro; ao não obter respostas da empresa, o pesquisador nos notificou da brecha. Após apurarmos o problema, tentamos entrar em contato com a empresa por diversas formas a partir do dia 24 de outubro (via telefone, email e até mesmo mensagem particular no LinkedIn para colaboradores da área técnica), mas não obtivemos resposta até o fechamento da reportagem.

Outros registros encontrados no Logstash incluem endereços IP das máquinas usadas para acessar o sistema

No momento em que esta matéria foi escrita, o ambiente Elastic continuava público; porém, as credenciais não estavam mais sendo registradas pelo Logstash e o histórico de logins havia sido deletado, impedindo assim o acesso por pessoas não-autorizadas. É impossível dizer se agentes maliciosos tiveram acesso aos dados antes que o problema fosse corrigido.

Atualização: 11/11/2019, às 13h15

Após a publicação da reportagem, a Quiver nos enviou seu posicionamento oficial por email. Confira na íntegra.

“Nossa empresa pautada pelo seu princípio de respeito aos nossos clientes, pela segurança da informação e a privacidade dos dados, comunica que imediatamente após tomarmos conhecimento desta situação ocorrida na solução MAX, executamos as medidas cabíveis para bloquear a vulnerabilidade apresentada, visto que as aplicações evoluem continuamente e as mesmas requerem monitoramento e ajustes com frequência.”

A The Hack confirmou que, neste momento, o ambiente Elastic foi devidamente retirado do ar.

https://thehack.com.br/exclusivo-vulnerabilidade-em-sistema-de-corretagem-permite-acessar-dados-de-clientes/

O maior Encontro de Gerenciamento de Riscos da América Latina

IBGC.png

Pensar de forma sistêmica, acreditando na interdependência de uma cadeia que une a vida, os recursos e o desenvolvimento, é a única maneira de desenhar um horizonte de abundância e prosperidade. A EXPO ABGR 2019 é o maior evento de gerenciamento de riscos da América Latina. O evento, que acontecerá entre os dias 12 e 13 de novembro de 2019 no World Trade Center, em São Paulo, reunirá mais de 3.000 profissionais ao longo do XIII Seminário Internacional da ABGR e da feira de negócios EXPO ABGR 2019. Os maiores risks managers, junto aos grandes líderes do mercado do setor de seguros do país, estarão reunidos, discutindo os temas mais relevantes do momento. O mote para esse grande encontro em 2019 é o elo entre a gestão de riscos e o desenvolvimento sustentável nos negócios.

Ler mais

Criminalidade cai enquanto a letalidade policial aumenta. Existe alguma relação?

“Luis Kawaguti, especial para a Gazeta do PovoRio de Janeiro”

Policial militar em operação

O número de crimes como homicídio, latrocínio e roubo vem caindo em todo o Brasil desde 2018, segundo estatísticas do governo federal e da organização Fórum Brasileiro de Segurança Pública. Ao mesmo tempo, o número de suspeitos mortos em confrontos com policiais tem aumentado. Essas tendências levam à pergunta: a criminalidade cai quando a letalidade policial aumenta?

No ano de 2018, as mortes decorrentes de ações policiais aumentaram 19,6%. Foram 6.220 casos – 1.041 a mais que em 2017, segundo dados compilados pelo Fórum de Segurança junto a órgãos de segurança em todo o Brasil.

No mesmo período, o número de vítimas de homicídios caiu de 56.030 casos em 2017 para 48.951 em 2018 (-12%). Também houve redução em diversos outros indicadores criminais, como o número de vítimas de latrocínio (roubo seguido de morte), de 2.486 para 1.929 (-22%) e nos roubos, que passaram de 1,7 milhão para 1,4 milhão (-13%).

Analistas de segurança ouvidos pela Gazeta do Povo afirmaram que, em alguns estados, a redução da criminalidade pode estar ligada ao aumento das mortes de suspeitos. Não pelo fato dos policiais matarem mais, mas por indicar que, com mais recursos, gestão e planejamento, as polícias teriam passado a agir mais em áreas de grande incidência de crimes – fato que aumenta a probabilidade de confrontos e eleva o número de mortes.

Entre 2017 e 2018, os gastos com policiamento no Brasil subiram 16%, de cerca de R$ 26,5 bilhões para R$ 30,8 bilhões, segundo dados do think tank. Segundo o Fórum Brasileiro de Segurança Pública, com os dados disponíveis até hoje ainda não é possível estabelecer uma relação direta entre a queda da criminalidade e a letalidade policial. Mas, para a entidade, essa hipótese não pode ser descartada e deve ser melhor estudada.

O número maior de confrontos preocupa especialistas e políticos, por elevar a possibilidade de que inocentes sejam feridos ou mortos – como no caso da menina Agatha Félix, de 8 anos, morta em um tiroteio entre policiais e traficantes em uma das favelas mais perigosas do Rio de Janeiro, no sábado (21).

Já o governo federal, apesar de lamentar as mortes de inocentes, as enxerga como consequência de um combate mais duro ao crime organizado.

Nesse contexto, a União vem divulgado dados nacionais que apontam para a continuidade da queda nos índices criminais em 2019. Nos cinco primeiros meses do ano, o número de vítimas de homicídios caiu 24%, de 21.983 em 2018 para 16.663 em 2019 e os latrocínios foram 681, 23,7% a menos que 2018. O número de roubos de cargas foi de 7.249 (redução de 25%) e os roubos a banco, 242 (queda de 38%). Não foram apresentados, porém, dados atualizados de letalidade policial.

Gestão de riscos
“A criminalidade começou a cair e as mortes de suspeitos aumentaram não pela ação policial mais dura em si. É uma relação de inteligência e gestão de riscos, uma questão de colocar a polícia no lugar certo”, afirmou Nelson Ricardo Fernandes, analista do Portal da Gestão de Riscos e professor da Fipe (Fundação Instituto de Pesquisas Econômicas).

Segundo ele, isso significa planejar e concentrar as ações policiais nos locais onde ocorrem mais crimes – processo chamado no jargão policial de “mancha criminal”. Para que isso seja possível, a polícia precisa monitorar em tempo real os registros de crimes nas principais cidades e a partir daí definir estratégias de patrulhamento ostensivo nas áreas mais críticas. “Quando isso é feito de forma eficaz, aumenta o número de confrontos entre policiais e criminosos e aí você vai ter mais letalidade”.

Porém, Fernandes disse que só a ação repressiva não é suficiente. “As mesmas regiões que têm mais crimes, têm que receber ações preventivas, que são ações sociais para evitar que jovens sejam aliciados por criminosos. Isso significa levar para lá escolas, criar cursos de esportes e artes, e oferecer empregos. Mas nem sempre isso acontece”, disse.

O Rio de Janeiro é um exemplo de estado onde a reorganização e os investimentos na polícia levaram à redução da criminalidade durante o ano de 2018 – quando o estado passou por uma intervenção federal na segurança pública.

Nesse período, policiais passaram por treinamento e requalificação, a estrutura da Polícia Militar sofreu mudanças (com a extinção de Unidades de Polícia Pacificadora), planos de gestão foram elaborados, e equipamentos e armas comprados. Isso tudo aumentou a capacidade de operar da polícia – que também passou a agir de acordo com a chamada “mancha criminal”.

Em dez meses de intervenção, todos os índices criminais reverteram a tendência de alta e começaram a cair. Os homicídios foram reduzidos de 4.364 no ano anterior para 4.041 em 2018 (-7,4%) e os roubos de 206.502 para 190.994 (-7,5%). A maior queda foi no roubo de cargas: de 9.454 para 7.463 para 42.019 (-21%), segundo dados do Instituto de Segurança Pública.

No mesmo período, o número de mortos pela polícia subiu de 944 para 1.275 (35%). “O Estado adotou uma postura nova. Entrou em áreas dominadas pelo crime com uma polícia mais bem equipada e com as Forças Armadas. Quando foram recebidos a tiros, responderam à altura”, disse o analista de segurança Hugo Tisaka, diretor da consultoria de segurança NSA Global.

O plano dos interventores federais era treinar cada vez mais os policiais, aumentar as ações de inteligência e assim ir reduzindo a letalidade da polícia e a criminalidade.

Política mais dura e letalidade policial
Porém, a política de segurança foi mudada pelo governador Wilson Witzel (PSC). Enquanto promete contratar mais policiais, ele tem dado ênfase a uma política de confronto com os criminosos – afirmando que todos aqueles que forem flagrados com fuzis podem ser “abatidos” pela polícia.

Neste ano, o Rio teve menos crimes e a polícia foi mais letal. Entre janeiro e agosto de 2019, houve 1.249 casos de pessoas mortas pela polícia no estado do Rio – 16% a mais que no mesmo período de 2018. No mesmo período, o número de homicídios caiu de 3.461 para 2.717 (-21%).

Segundo Tisaka, a postura de Witzel é reflexo de uma tendência que tem ganhado terreno no país. “O governo federal e alguns estados estão com uma postura mais dura de enfrentamento do crime a curto e médio prazo. Isso só vai funcionar se vier acompanhado de uma valorização da educação a longo prazo”, disse.

Estatísticas insuficientes

Para o pesquisador David Marques, do Fórum Brasileiro de Segurança Pública, a queda nacional na criminalidade não pode ser explicada só pelas ações da polícia.

Segundo ele, os dados disponíveis sobre letalidade policial registrados até hoje não indicam uma correlação entre os números de roubos e homicídios, e as mortes por intervenção policial. Contudo, ele disse que a hipótese não pode ser descartada e é necessário fazer mais estudos para se chegar a uma conclusão.

De acordo com ele, o problema dos dados é que não é possível dizer com exatidão qual é a porcentagem de mortes legítimas (quando o policial mata para se defender) e casos em que houve erros ou ilegalidades e abusos por parte da polícia. Os erros podem levar a mortes de inocentes e os abusos têm potencial para gerar reações mais violentas do crime organizado.

Marques disse que a queda nos crimes também pode ser explicada por fatores como a dinâmica das facções criminosas. Um dos exemplos é o estado do Ceará, onde, segundo ele, ocorreu uma das maiores quedas de índices criminais: o número de vítimas de homicídios foi reduzido de 5.042 em 2017 para 4.481 em 2018 (-11%); o de vítimas de latrocínios de 88 para 53 (-39%) e os roubos de 76.047 para 64.513 (-15%). Ele atribuiu a retração principalmente ao arrefecimento de um conflito entre facções criminosas locais que chegou ao auge em 2017.

Na opinião do pesquisador de segurança pública Aiala Couto, da Universidade Estadual do Pará, essa tendência de acomodação de facões criminosas é a principal responsável pela queda dos índices criminais nas regiões Norte e Nordeste do Brasil.

“O PCC (Primeiro Comando da Capital) e o CV (Comando Vermelho) vieram para o Norte e o Nordeste. Quando uma facção dessas se estabelece em uma área, ela não permite a realização de outros crimes em áreas de tráfico de drogas, o que reduz a criminalidade”, afirmou.

“No Pará a criminalidade caiu tanto porque a polícia passou a agir em áreas mais periféricas e violentas quanto pela atuação de milícias (organizações criminosas formadas por maus policiais), que impedem a ocorrência de determinados crimes”, disse.

O Fórum Brasileiro de Segurança Pública também cita como possíveis causas de diminuição da violência uma relativa recuperação da economia e fatores demográficos, como o gradual envelhecimento da população.

Excludente de ilicitude
O governo de Jair Bolsonaro (PSL) atribuiu a queda na criminalidade em 2019 principalmente ao isolamento das lideranças das facções criminosas em presídios federais (realizados por ordem da Justiça após pedidos do Ministério Público) e ao endurecimento da política de visitas íntimas – que dificulta a comunicação dos líderes das facções com seus subordinados.

Porém, desde o governo de Michel Temer (PMDB), a União vinha aumentando o investimento em segurança e traçando um plano nacional para integrar as polícias em áreas como comunicação, inteligência e coleta de dados.

O próximo passo do governo federal no endurecimento do combate às facções criminosas é tentar aprovar no Congresso o pacote anticrime do Ministro da Justiça, Sergio Moro. Um dos pontos de maior polêmica é o chamado excludente de ilicitude – um mecanismo legal que pode proteger policiais contra processos por mortes ocorridas em ações legítimas da polícia.

Porém, parlamentares contrários à proposta dizem que a medida pode fazer com que crimes como o assassinato da menina Agatha fiquem impunes.

Analistas de segurança defendem que o treinamento dos policiais, ações de inteligência e a aquisição de equipamentos mais precisos podem reduzir a letalidade da polícia. Mas a comoção social com a morte da criança pode alterar os planos do governo federal de endurecer o combate ao crime.

https://www.gazetadopovo.com.br/republica/criminalidade-cai-letalidade-policial-aumenta-relacao/