A Telefónica confirmou recentemente uma violação em seu sistema interno de tickets, resultando no vazamento de dados confidenciais de funcionários e operações. O ataque foi facilitado por uma combinação de malware infostealer e técnicas sofisticadas de engenharia social. Pesquisadores da Hudson Rock investigaram o caso e relataram que o acesso inicial foi obtido através da plataforma Jira da empresa. Os invasores utilizaram um malware infostealer personalizado para comprometer mais de 15 funcionários, conseguindo credenciais que permitiram o acesso ao sistema. A Hudson Rock identificou que, somente em 2024, dez funcionários da Telefónica haviam sido infectados por infostealers e tinham credenciais para acessar o mesmo ambiente Jira comprometido.
Leia também
Malware na loja da NFL rouba dados de cartões
Ataque ao site do Coritiba anunciou contratação de Neymar
Dentro do sistema, o grupo de atacantes Hellcat usou engenharia social para enganar dois funcionários com acesso administrativo, obtendo informações sobre o servidor correto para ataques de força bruta via SSH. Isso possibilitou a exfiltração de uma grande quantidade de dados, incluindo 24.000 e-mails e nomes de funcionários, expondo-os a riscos de phishing e falsificação de identidade; 500.000 registros e resumos do Jira, que podem revelar detalhes operacionais sensíveis e vulnerabilidades na infraestrutura da empresa; e 5.000 documentos internos contendo informações estratégicas e comunicações confidenciais.
A investigação também revelou um problema sistêmico relacionado à proliferação de malwares infostealer na Telefónica. Em 2024, foram detectadas 531 infecções de computadores de funcionários por esse tipo de malware, resultando no roubo de credenciais corporativas. A análise mostrou que 66% das senhas comprometidas eram fracas, com padrões previsíveis e ausência de requisitos de complexidade robustos. Além disso, 4.200 outros casos envolveram logins corporativos em sistemas de terceiros, como Office365, Salesforce e Fortinet.
Essa violação expõe falhas significativas de segurança dentro da organização, incluindo a falta de requisitos rigorosos para senhas e uma alta taxa de infecções por malware. O incidente reforça a necessidade de medidas preventivas, como a implementação de autenticação multifator, monitoramento contínuo de sistemas, treinamento em cibersegurança e reforço das políticas de higiene cibernética para proteger os dados e operações da empresa contra ataques sofisticados.