Hacker invade sistema da Taurus Armas e expõe dados de 40 mil clientes

Uma denúncia aponta vazamento de dados de 40 mil clientes da Taurus Armas, empresa de capital aberto relacionada à fabricação de armas com sede no Rio Grande do Sul. A informação veio de uma fonte anônima, com documentos enviado ao site TecMundo.

De acordo com o veículo, os dados são sensíveis e incluem e-mails, nomes, contatos telefônicos, endereços completos com CEP, além de CPF e CNPJ de clientes da empresa. Tais informações, segundo a denúncia anônima, foram obtidas explorando uma vulnerabilidade chamada CWE-284, a qual permite que o invasor comprometa a segurança de uma URL ou de um programa e ganhe acesso ao sistema. Segundo o próprio invasor, isso foi feito mudando a ID do usuário na URL. Ele ainda disse que fez uma ferramenta para baixar os dados todos de uma só vez, forma pela qual conseguiu resgatar arquivos de 40 mil clientes da empresa.

A Taurus foi contatada pelo TecMundo e enviou nota em que disse ter aberto investigação sobre o caso. Segundo o veículo, a empresa tem se mostrado preocupada com o caso desde que foi acionada.

“A companhia, tão logo soube desse acesso indevido, tomou imediatamente as seguintes providências: tirou imediatamente a página do ar; iniciou investigação interna; comunicou a autoridade policial responsável por crimes informáticos fornecendo todas as informações necessárias para subsidiar a investigação que já está em curso; está contratando uma empresa especializada para fazer uma auditoria completa; e iniciou o desenvolvimento de uma nova aplicação para consulta de peças, com criptografia da conexão e outras melhorias para evitar acessos indevidos”, comentou em nota.

Segundo a Taurus, tal página a cujos dados o hacker teve acesso servia para consulta de peças. Apenas para este fim, já era preciso fazer um cadastro na companhia. “Esta página que foi acessada indevidamente continha um cadastro de pessoas associadas apenas à consulta de peças. Esse cadastro não continha quaisquer dados financeiros e tampouco dados sobre aquisição de produtos da companhia. Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia”, explica.

Embora a companhia se defenda dessa forma, é importante lembrar que dados como nome, endereço físico, CPF, CNPJ e e-mail são considerados sensíveis, dos quais hackers experientes podem se utilizar para outras ações.

Junto dos dados, o denunciante também disse que invadiu o sistema por ser contra a indústria de armas e acusou a Taurus de produzir armas com problemas de segurança. “Ela fabrica armas de péssima qualidade, que vivem travando, disparando acidentalmente. Muitos policiais já tiveram que aposentar por causa da porcaria da arma deles. Mas, principalmente, contra o decreto do Bolsonaro”, criticou.

Fonte: TecMundo