A fabricante taiwanesa de equipamentos de rede D-Link confirmou uma violação de dados ligada a informações roubadas de sua rede e colocadas à venda no início deste mês no BreachForums, fórumpreferido dos cibercriminosos de língua inglesa e que agentes federais dos EUA haviam anunciado ter derrubado em junho deste ano.
O invasor afirma ter roubado o código-fonte do software de gerenciamento de rede D-View da D-Link, juntamente com milhões de entradas contendo informações pessoais de clientes e funcionários, incluindo detalhes sobre o CEO da empresa. Os dados roubados incluiriam nomes, e-mails, endereços, números de telefone, datas de registro de conta e as últimas datas de login dos usuários.
O operador da ameaça forneceu amostras de 45 registros roubados com carimbos de data/hora entre 2012 e 2013, o que levou outro participante da thread a comentar sobre o fato de que os dados pareciam muito antigos. “Eu violei a rede interna da D-Link em Taiwan, tenho 3 milhões de linhas de informações de clientes, bem como código-fonte para D-View extraído do sistema”, disse o invasor. “Isso inclui as informações de muitos funcionários do governo em Taiwan, bem como dos CEOs e funcionários da empresa.”
Os dados estão disponíveis para compra no fórum de hackers desde 1º de outubro, com o operador da ameaça exigindo US$ 500 pelas informações roubadas e pelo suposto código-fonte D-View.
A D-Link disse que a falha de segurança ocorreu devido a um funcionário ter sido vítima de um ataque de phishing, concedendo ao invasor acesso à rede da empresa. Em resposta à violação, a empresa disse que desligou imediatamente os servidores potencialmente afetados e desativou todas as contas de usuário, exceto duas, usadas durante a investigação.
Veja isso
Variante DDoS do Mirai explora roteadores D-Link, Zyxel e TP-Link
D-Link corrige bugs de desvio de autenticação e RCE no D-View 8
Embora tenha confirmado a violação, a D-Link especificou que o invasor acessou um sistema de registro de produto dentro do que descreveu como um “ambiente de laboratório de teste”, operando em um sistema D-View 6 desatualizado que chegou ao fim da vida útil em 2015. A razão pela qual um servidor em fim de vida ainda estava operacional na rede da D-Link, permanecendo exposto ao acesso à internet por sete anos, permanece obscura.
Ao contrário da alegação do invasor de roubar dados de milhões de usuários, a D-Link disse que o sistema comprometido continha cerca de 700 registros, com informações sobre contas que existem há pelo menos sete anos.
“Com base nas investigações, verificamos que [o sistema] continha apenas cerca de 700 registros desatualizados e fragmentados que estavam inativos há pelo menos sete anos”, disse a D-Link. “Esses registros tiveram origem em um sistema de registro de produtos que chegou ao fim de vida útil em 2015. Além disso, a maioria dos dados consistia em informações de baixa sensibilidade e semipúblicas.”
A D-Link também suspeita que o operador da ameaça adulterou deliberadamente os carimbos de data/hora de login recentes para criar a ilusão de um roubo de dados mais recente. Além disso, a empresa afirmou que a maioria de seus clientes existentes provavelmente não será afetada por esse incidente.