Após roubo de credenciais, donos de carros da GM têm perfis invadidos
Por Felipe Demartini | Editado por Claudio Yuge | 24 de Maio de 2022 às 13h20
Um ataque usando credenciais roubadas contra sistemas da montadora de automóveis General Motors levou à possível exposição de dados de clientes, além do uso indevido de pontos em um programa de fidelidade. O caso aconteceu em abril e teria atingido menos de cinco mil pessoas, donos de veículos de marcas como Chevrolet, Buick, GMC e Cadillac nos Estados Unidos.
- Conheça as 10 vulnerabilidades mais usadas em ataques contra empresas
- Crimes com PIX em SP crescem mais de 200% no 1º trimestre de 2022
O golpe atingiu o sistema online de manutenção, serviços e fidelidade da GM, que permite aos usuários acompanharem a milhagem de seus veículos, marcação de serviços, informações de recall e outros alertas da montadora. Na medida em que realizam revisões e manutenções nos carros, recebem pontos que podem ser trocados por descontos, produtos e cartões-presente — estes pareciam ser o alvo dos criminosos, já que as contas invadidas tiveram seu saldo usado indevidamente.
Não houve intrusão aos sistemas da GM nem falha em seus sistemas de segurança, afirmou a empresa, que atribuiu a ação a um ataque de credential stuffing. O termo indica o uso de credenciais vazadas de outros serviços, experimentadas em massa por sistemas automatizados na plataforma da montadora, de forma a localizar contas que utilizem as mesmas combinações de login e senha, uma prática nada recomendada de segurança digital. Onde deu certo, houve a intrusão e o uso indevido do saldo de pontos de fidelidade.
Empresa nega vazamento interno
Em comunicado, a empresa disse que não houve vazamento de dados a partir de seus sistemas nem comprometimento de plataformas internas. Os atingidos estão sendo comunicado para que resetem suas senhas e protejam suas contas, uma vez que o site não possui tecnologia de verificação em duas etapas.
Ainda que não existam indícios de vazamento de dados, os usuários que tiveram suas contas invadidas estiveram suscetíveis ao comprometimento de informações pessoais como nomes completos, endereços de e-mail, membros da família e informações de planos de seguros e serviços, bem como do próprio veículo. Por isso, a recomendação, também, é de atenção quanto a ataques de phishing e a troca de senhas que tenham sido compartilhadas, por exemplo, entre serviços online e o sistema de Wi-Fi dos carros.
Por outro lado, a GM informou que a plataforma de fidelidade não carregava dados sensíveis, como documentos pessoais, nem informações financeiras, que eram processadas fora deste sistema. Os pontos usados pelos criminosos também serão reembolsados às contas atingidas.