Hacker owna servidor Certisign

Um hacker que se identificou como Sup3rm4n (handle @AvcSuperman no Twitter) publicou às 5h31 de hoje (horário de Brasília) no Pastebin um log de 640 linhas. É um registro de atividades num servidor padrão Unix da empresa Certisign. E as linhas impressas no log indicam que o hacker conseguiu utilizar a conta root. A Certisign enviou ao Cisoadvisor uma nota oficial informando que o incidente ocorreu em dois servidores, mas que eles estão “inativos que não fazem parte da infraestrutura tecnológica da empresa desde 2017”.

O texto publicado no Pastebin é assinado assim:

  • # Certisign Pwned By SUP3RM4N – Fatal Error Crew
  • # Somos: elemento_pcx & s4r4d0 & sup3rm4n & j0shua
  • # Made in Brazil – Devagar e sempre 🙂 [ 2001 ~ 2019 ]

Em seguida vem uma mensagem irônica sobre segurança dos servidores e dos ICPs e a prova de que a conta root foi utilizada

id
uid=0(root) gid=0(root) grupos=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

O hacker Sup3rm4n pertence a um grupo brasileiro chamado “Fatal Error Crew”. O grupo assumiu a responsabilidade por mais de 2 mil defacements (desfigurações) de websites e também por exposições de dados de empresas como a Boa Vista SCPC e C&A e também Exército Argentino.

Em 21 de Outubro de 2017, o Cisoadvisor noticiou outro vazamento supostamente associado a um computador da Certisign. Era também máquina com sistema operacional baseado em Unix. Foram publicadas no Pastebin informações confidenciais tais como senhas que pareciam associadas a procedimentos de emissão ou renovação de certificados digitais.

[toggle title_open=”Clique para Fechar” title_closed=”Comunicado da Certisign” hide=”yes” border=”yes” style=”default” excerpt_length=”0″ read_more_text=”Read More” read_less_text=”Read Less” include_excerpt_html=”no”]“A Certisign informa que o conteúdo (códigos) publicado não contém e não compromete as informações e os dados de clientes, parceiros e fornecedores. O incidente foi restrito a dois servidores inativos que não fazem parte da infraestrutura tecnológica da empresa desde 2017. Os dados divulgados referem-se a arquivos internos de configuração de servidor. A empresa esclarece, também, que o conteúdo divulgado, claramente, foi manipulado e adulterado, porque contém dados de eventos de 2018, quando os servidores já tinham sido desativados.

Por fim, a Certisign ressalta que não foram expostas outras aplicações e que o incidente não afetou, de nenhuma forma, a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, Certificados Digitais ou chaves privadas, uma vez que ficam em ambientes isolados submetidos a robustos controles de segurança.”[/toggle]

[box type=”info” style=”rounded” border=”full”]Fundada em 1996, a Certisign foi a terceira autoridade certificadora a entrar em operação no mundo. A empresa tem o maior número de Certificados Digitais emitidos para pessoas físicas e jurídicas e servidores web na América Latina, com mais de 1.600 pontos de atendimento no País.[/box]

Vazamentos: Certisign e Roadsec?

 

Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin