Suposto banco de dados de reconhecimento facial do Banco Central vaza; CPqD nega

Um vazamento de dados supostamente do CPqD — Centro de Pesquisa e Desenvolvimento em Telecomunicações — foi anunciado no site de operadores de ransomware LV na darkweb nesta segunda-feira (2). O “incidente” cibernético foi confirmado pela fundação após o portal Ciso Advisor noticiar o caso, entretanto, negou que dados pessoais tenham sido comprometidos, inclusive da base de reconhecimento facial do Banco Central, sustentando que a autarquia financeira não faz parte da carteira de clientes do Centro.

Imagem: Marcello Casal Jr/Agência Brasil

No anúncio, constavam dois endereços onde dois diretórios poderiam ser encontrados: o subdiretório QA (Quality Assurance, a área de testes de software de processos) e o outro com subdiretórios clientes, proceedings e projetos. Um dos arquivos encontrados e um dos diretórios indica que a máquina acessada pode ter sido um computador pessoal.

O material, segundo os operadores do malware, pertence à plataforma usada pelo CPqD, como GitHub, banco de dados do Jira, servidores de blockchain, banco de dados de reconhecimento facial do Banco Central, documentos diversos e “muito mais dados”. Alegação negada pela fundação posteriormente à publicação do caso.

Além disso, havia capturas de tela do VSphere supostamente do CPqD com um mapa identificando todas as máquinas virtuais administradas por esta instância. Uma das imagens mostra dois dispositivos de armazenamento locais da máquina supostamente acessada, com um disco de 1,03 TB e um outro de 109 GB, além de um armazenamento em rede de 349 GB.

‘Sem nenhum dado pessoal ou informação sensível’, diz fundação ao comentar sobre conteúdo do material vazado

No informe, o CPqD explicou que os “os repositórios divulgados como desprotegidos referem-se a testes realizados internamente visando a garantia de qualidade de soluções blockchain desenvolvidas, sem nenhum dado pessoal ou informação sensível.” E que as soluções de identidade digital descentralizada baseadas em blockchain desenvolvidas pela organização, por exemplo, colocam o controle dos dados pessoais nas mãos dos próprios usuários, justamente para evitar situações de vazamento ou o acesso a informações sensíveis por pessoas não autorizadas.”

Esclarecimento do CPqD. Image: reprodução/CPQD

A empresa disse que após tomar medidas de segurança, apura o caso. Abaixo, a nota do CPqD na íntegra:

A segurança da informação e a proteção dos dados pessoais são requisitos que sempre receberam atenção especial no CPQD. As soluções de identidade digital descentralizada baseadas em blockchain desenvolvidas pela organização, por exemplo, colocam o controle dos dados pessoais nas mãos dos próprios usuários, justamente para evitar situações de vazamento ou o acesso a informações sensíveis por pessoas não autorizadas.

Dessa forma, o CPQD esclarece que nenhum dado pessoal foi vazado, nem solução de cliente foi comprometida, ao contrário do que está sendo divulgado.

Além disso, nenhuma solução blockchain desenvolvida pelo CPQD, envolvendo informações sensíveis de pessoas ou empresas, está em uso atualmente pelo Banco Central do Brasil. Esclarecemos, ainda, que os repositórios divulgados como desprotegidos referem-se a testes realizados internamente visando a garantia de qualidade de soluções blockchain desenvolvidas, sem nenhum dado pessoal ou informação sensível.

Todos os protocolos de segurança mantidos pelo CPQD já foram acionados e medidas foram tomadas para apurar o incidente e evitar qualquer transtorno às operações de clientes e parceiros. Segurança da informação é nossa prioridade!

Via Convergência Digital