Unick Forex  foi hackeada e os dados de 36 mil clientes vazaram na rede. Os hackers da equipe BGV criaram um site para exportar como informações. O catálogo atual encontra-se fora do ar, mas já foi re-upado em novo endereço.

https://portaldobitcoin.com/hackers-roubam-dados-sigilosos-unick-forex-cobram-4-bitcoins/

 

Portal do Bitcoin  entrou em contato com os hackers, pelo e-mail divulgado no site. Os clientes têm mais de 100 milhões de clientes, os quais são expostos a uma empresa não pagam 4 bitcoins que estão sendo pedidos.

O grupo afirma, por meio desse novo site, que criou “uma estrutura mais sofisticada para apresentar os conteúdos” uma vez que foi uma quantidade gigantesca de acesso nos últimos dias, motivo pelo qual o primeiro site saiu do ar.

O problema com os dados vazados é, independentemente do tempo que não existe, um número incalculável de pessoas tendo acesso a isso e, futuramente, pode ser utilizado com um grande esforço para esses clientes.

O Portal do Bitcoin não divulga os endereços e nem uma lista de vazios em relação às vítimas do vazamento.

Unick vulnerável

Um dos hackers da BGV, que não se identificou, iniciou as provas de que está com os dados de acesso ao antigo e-mail - This email address is being protected from spambots. You need JavaScript enabled to view it. - que foi usado para enviar uma nova senha e um diretor requisitava.

O grupo divulgou os dados de 36 mil clientes, inicialmente, mas eles prometeram o lançamento de alguns negócios de clientes como o Unchar Forex não pagou 4 bitcoins, o que ainda não aconteceu por  uma carteira anunciada para o depósito de bitcoins ainda se encontra vazia .

“O não tem dados de expiração, não por enquanto, pelo menos. Pois colocamos duas “modalidades”. Se você quiser depositar os 4BTC, retirar os arquivos do ar e excluir o que temos, apresente-se livre de seus dados pessoais, também pode fazer o pagamento do valor simbólico e este valor será somado para 'bater a meta' de 4BTC. ”

O grupo BGV afirma que entrou em contato com a empresa, por meio do suporte deles e via e-mail, mas não tendo recebido resposta.

“Os contatos pessoais de cada funcionário / empresa, mas estão em busca de algum canal de comunicação via ticket do suporte deles e via email. Por enquanto eles estão apenas não respondendo, mesmo tendo visualizado ”.

Sistema fraco

De acordo com o invasor, o sistema da Unick Forex, não tem um bom nível de segurança, “muitos usam senhas fracas como 1234,123456” e isso facilita muito o hackeamento.

“Foi um dos serviços mais fáceis que a minha, não foi ao entrar em detalhes sobre uma vulnerabilidade, mas foi algo bem simples. Qualquer um que tenha o mínimo de conhecimento sobre a segurança Web e a sua tentativa e consentimento ”, afirma.

The blind of blind and the communication system of the communication of the communication is which notava by Israel (Nogueira). “Um top 'empresa' que não tem cita não existe”, afirma.

Os hackers da BGV ainda desmentiram a história contada pelos diretores de que a empresa tem sido vítima de milhões de ataques hackers e revelou que há quatro meses vem coletando esses dados.

“Eles citam que recebem milhões de ataques por dia. Bom, estamos no sistema deles a cerca de 4 meses, coletando dados e estávamos acompanhando os logs, eles não eram alvo de ninguém”.

Palavra do especialista

Em face desse problema, a reportagem conversou com o Leandro Trindade, Consultor de Segurança da Informação na X-15 Tech. Ele afirma que o vazamento é real e que pelo nível de informação, o pessoal da BGV, só pode ter conseguido a senha do administrador e suporte.

Trindade disse:

“Guardar as senhas em plaintext (texto sem criptografia) é de uma irresponsabilidade tremenda e deveria ser punível criminalmente. Sabemos que mesmo sendo contra-indicado os usuários reusam senhas em diversas plataformas e esse vazamento ainda irá causar danos colaterais aos clientes”.

Os possíveis danos que Trindade se refere é a comercialização dos dados na Deep Web. Com US$ 5 se compra uma documentação de outra pessoa no mercado negro.

Com essa documentação em mãos, o criminoso pode abrir uma conta numa corretora em nome daquele que teve seus dados vazados e assim lavar dinheiro. Sem contar que é possível abrir contas e até fazer cartão de crédito no nome delas.

Trindade, contudo, disse que nem todos os dados estão completos pois a pessoa não concluiu seu cadastro na empresa. Dos 36 mil dados — que já foram vazados— apenas 3.600 não estão completos. A venda desses dados na Deep Web poderia dar em torno de 150 mil dólares para o hacker que comercializá-los, conforme explica Trindade.

Dever de indenizar

Daniel Becker, advogado do escritório Lima Feigelson, afirma que a empresa tem de adotar todas as medidas de segurança possíveis e recomendáveis para melhor proteger os dados de seus clientes.

“Uma vez que ela requer esses dados para execução de algum contrato, pela teoria do risco, ela que vai ser responsável por guardar esses dados e manter eles seguros”.

Becker disse que o vazamento de dados traz para a empresa a responsabilidade em indenizar o cliente por qualquer dano sofrido, inclusive o moral que se presume pelo próprio vazamento.

O advogado afirma que apesar de ser “quase impossível se evitar um ataque cibernético na medida em que a tecnologia evolui”, a empresa tem de provar que usou das melhores práticas de cibersegurança.

“De forma preventiva é importante que uma empresa tenha uma política de cibersegurança e um plano de resposta incidente. Após a ocorrência do incidente, deve ser avaliado qual foi a brecha, mapear os dados que foram vazados para comunicar aos titulares sobre o vazamento, além de resolver esse problema de segurança para que não ocorram novos casos”.

Proteção legal

Apesar de não haver uma autoridade nacional de proteção de dados e a Lei Geral de Proteção de Dados só passe a vigorar em agosto de 2020, Becker afirma que o ordenamento jurídico brasileiro já tem respostas para esse tipo de problema.

“A Constituição da República, o Código de Defesa do Consumidor e o Marco Civil da Internet possuem diversas previsões que asseguram o direito aos titulares dos dados, para que eles sejam usados com respeito”.

Para o advogado Filipe Porto, do escritório Pereira, Porto e Penedo, poderia até haver uma excludente de ilicitude (o que afastaria a responsabilidade civil em reparar o dano), mas para isso a empresa teria de provar que a invasão era inevitável.

“Se a empresa conseguir comprovar que independente de seus esforços, o hacker conseguiria entrar de todo modo, ela poderia tentar a excludente de ilicitude. Mas cabe ao detentor das informações (a empresa) comprovar que tinha a última geração de proteção”.

Ataques semelhantes

Essa não é a primeira empresa a experimentar uma invasão em seus sistemas. O caso mais recente foi o da Exchange Coinmama. Há menos de um mês, a corretora de criptomoedas foi hackeada e 450 mil usuários foram afetados.

Antes disso, em agosto de 2018, a plataforma Atlas Quantum teve lista de de 264 mil clientes divulgada. Entre os nomes mais conhecidos estavam o do Rocelo Lopes, Ceo da Stratum; e do jornalista Leandro Narloch, colunista da Folha e autor de alguns dos livros da série Guia do Politicamente Incorreto.

Em agosto de 2018, Leandro Trindade, em alguns dos seus principais artigos escritos para o Portal do Bitcoin, trouxe  dicas para o usuário a se deparar com o  problema de um tipo de problema semelhante. Uma das dicas apontadas por Trindade é não a mesma senha para tudo.

A reportagem entrou em contato com Fernando Lusvarghi, diretor e diretora da empresa, mas não é desativado.