A agência de segurança cibernética da União Europeia, CERT-EU, confirmou que uma recente grande violação de dados que afetou a Comissão Europeia foi o resultado de um esforço coordenado de dois grupos de hackers distintos: TeamPCP e ShinyHunters. O incidente comprometeu aproximadamente 92 gigabytes de dados compactados, incluindo informações pessoais como nomes, endereços de e-mail e conteúdo de e-mails.
Detalhes e escopo da violação
O ataque teve origem em 19 de março, quando hackers obtiveram uma chave API secreta vinculada à conta Amazon Web Services (AWS) da Comissão. Este acesso foi obtido através de uma versão comprometida da ferramenta de segurança de código aberto Trivy, que a Comissão baixou inadvertidamente após uma violação anterior. Os dados roubados afetaram não só a Comissão, mas potencialmente pelo menos 29 outras entidades da UE que dependem da infraestrutura em nuvem da Comissão para os seus websites e publicações.
Posteriormente, a ShinyHunters assumiu a responsabilidade pela publicação online dos dados vazados. De acordo com um membro do grupo, eles adquiriram alguns dos arquivos roubados do TeamPCP após ataques anteriores e depois os divulgaram publicamente.
Por que isso é importante: o aumento dos ataques à cadeia de suprimentos
Este incidente é notável porque destaca uma tendência crescente no crime cibernético: ataques à cadeia de suprimentos. Ao comprometer ferramentas como o Trivy, os hackers obtêm acesso a várias organizações que dependem do mesmo software. Esta estratégia maximiza o impacto com o mínimo esforço. Como explica a Unidade 42 da Palo Alto Networks, visar desenvolvedores com acesso a sistemas confidenciais permite que hackers extorquem organizações para pagamentos de resgate.
O facto de dois grupos distintos estarem envolvidos também sugere uma potencial colaboração ou exploração oportunista da mesma vulnerabilidade. A CERT-EU está a contactar as organizações afetadas para mitigar mais danos. O porta-voz da Comissão recusou comentários imediatos, afirmando que responderiam na próxima semana.
Riscos de exposição de dados
A análise dos arquivos vazados revela que aproximadamente 52.000 arquivos contêm mensagens de e-mail. Embora muitos deles sejam automatizados com pouco conteúdo, e-mails devolvidos devido a erros podem expor dados originais enviados pelo usuário, criando o risco de comprometimento de informações pessoais.
Esta violação sublinha a vulnerabilidade até mesmo de instituições de alto perfil a vetores de ataque comuns, como comprometimentos da cadeia de abastecimento e roubo de chaves de API. O incidente serve como um forte lembrete para as organizações priorizarem atualizações de segurança de software, controles de acesso robustos e monitoramento vigilante de sua infraestrutura em nuvem.
