A Flipside, empresa que organiza o evento de segurança Roadsec, informou que não houve comprometimento de senhas a partir de sistemas desenvolvidos ou mantidos por ela. A declaração está numa nota de esclarecimento sobre a notícia de um vazamento de dados, publicada domingo passado em cibersecurity.net.br. Procurei na segunda-feira a assessoria de comunicação da Flipside, para saber se ela iria se manifestar sobre o assunto: o autor do vazamento publicou 641 endereços de e-Mail e senhas, procurando relacioná-los ao Roadsec.
No mesmo incidente, havia indícios de navegação numa máquina contendo dados com a palavra “certisign”. Procurei também o assessor de imprensa da Certisign indicado na página www.certisign.com.br/comunicacao/sala-imprensa, enviando e-mail e mensagem por meio de seu perfil no Facebook, mas ainda não obtive resposta.
Esta é a nota da Flipside:
“A Flipside, organizadora do Roadsec, tomou conhecimento do incidente reportado na matéria por volta das 13:50 h do sábado (21/10). Há uma sessão no documento (0x04 %% W4nt3d – C4ptur3 Th3 Sh3ll) com e-mails pessoais e senhas de três pessoas, sendo duas delas associadas à organização. Os e-mails divulgados são contas pessoais e as senhas são vazamentos antigos, cuja ocorrência pode ser verificada em sites que mantém informações a respeito de incidentes do gênero (como o https://haveibeenpwned.com/). Essas senhas não foram comprometidas a partir de sistemas desenvolvidos ou mantidos por nós.
Em relação a alegação de que os 641 pares de usuários e senhas sejam de participantes (mais de 15000 pessoas diferentes ao longo de quatro anos), ou de voluntários (comunidade que possui mais de 1000 pessoas envolvidas de forma direta ou indireta) ou de colaboradores da Flipside, acreditamos que tenha havido um erro de interpretação do conteúdo do vazamento. Tais informações apareceram na sessão (0x05 %% Dr0p Th3 H4sh) cujo objetivo aparente é consolidar informações vazadas em diversos incidentes distintos. As inscrições para nossos eventos são operadas por empresa terceirizada líder global de mercado, sendo esta responsável por zelar pela sua própria segurança e eventuais consequências a terceiros provocadas por incidentes envolvendo a mesma, embora não tenha sido esse o caso.
Aproveitamos para ressaltar que a Flipside é a favor da divulgação de falhas de segurança em sistemas, especialmente quando os mesmos armazenam informações de terceiros que podem ser afetados por tais incidentes. Embora não exista legislação específica sobre o tema no país, é considerado melhor prática internacional tratar tais incidentes com a máxima seriedade e notificar os envolvidos da forma mais transparente possível. Também pensando nas consequências que tais falhas possam trazer, acreditamos que a prática de divulgação coordenada, amplamente adotada pela indústria, é a melhor solução nestes casos, uma vez que permite as empresas envolvidas notificarem possíveis clientes que tenham sido afetados (embora não seja esse o caso em questão aqui).
Sobre as senhas pessoais de nossos colaboradores terem sido expostas, ainda que sem impacto, nos resta lamentar profundamente que as mesmas tenham se tornado alvo de ações que visam aparentemente atacar um evento que organizamos. Esse tipo de atitude extrapola os limites do razoável, sendo certamente prática condenada por boa parte da indústria e da comunidade. Flipside”
