Hackers vazam dados da Embraer
A empresa brasileira Embraer, considerada hoje a terceira maior fabricante de aviões depois da Boeing e da Airbus, foi vítima de um ataque de ransomware no mês passado.
Hoje, os hackers envolvidos na intrusão vazaram alguns dos arquivos privados da empresa como vingança depois que o fabricante de aviões se recusou a negociar e, em vez disso, escolheu restaurar os sistemas de backups sem pagar o resgate exigido.
Os arquivos da Embraer eram compartilhados em um site hospedado na dark web, administrado pela gangue de ransomware RansomExx (também conhecido como Defray777).
Os dados carregados neste site incluíram amostras de dados de funcionários, contratos comerciais, fotos de simulações de voo e código-fonte, entre outros, de acordo com amostras analisadas pela ZDNet.
O vazamento de hoje confirma que os hackers conseguiram roubar dados dos servidores da empresa. A Embraer divulgou um comunicado à imprensa na semana passada, admitindo uma violação de segurança, mas não confirmou que o incidente não envolveu ransomware nem roubo de dados.
A fabricante do avião disse que os atacantes tiveram “acesso a apenas um ambiente” e que o incidente causou apenas um impacto temporário em “algumas de suas operações”.
Um porta-voz da Embraer não retornou um pedido de comentário enviado pela ZDNet hoje, após o vazamento.
FONTE: ZDNet
Sendo a EMBRAER de interesse Nacional, o GSI deveria investigar e identificar esses hackers e devidamente neutraliza-los permanentemente.
O que a EMBRAER deve fazer é proteger seus dados conforme os requisitos da Norma ABNT NBR 27001 (o que espero que atenda) e à A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, em vigor desde agosto/2020., aliás como quaisquer organizações regularmente ativas. Não tem privilégios e nem pode ser tratada de forma seletiva.
LGPD não tem nada a ver com um ataque hacker que utiliza sistemática criminosa além do que exigido pelas normas acima…
Vazamentos de dados pessoais de funcionários implicam na LGPD meu caro, leia direito.
Tudo o que você disse não isenta os criminosos de uma investigação. O ato deles é ilícito e cabe ao poder público, e não à Embraer, punir os meliantes.
Para isso a Embraer deve promover suas ações e em paralelo registrar um ocorrência. Não cabe ao poder público adotar ações sem que tenha um registro formal.pelo prejudicado. É um procedimento comum.
Companheiro, a Embraer já foi pública, agora não é mais, graças a Deus!!!!!!!!!!! Chega de meter o Estado em tudo, já ganhou rios de dinheiro , merecidqademnet, era uma fabricazinha de m$rda e foi provatizada, o Estado não é mais babá de empresa, ela que cuide da sua segurança, o povo já cansou de pagar a conta, os empresários que paguem as suas.
O mundo não é burocracia. Respeitar norma técnica não impede ataque hacker. Fosse assim, as grandes empresas não contratariam hackers para seu firewall, mas burocratas batedores de carimbo.
Não citei apenas a norma técnica. Citei a Lei que está em vigor desde agosto/2020.
Luis, esse pessoal não entende, desista de tentar ensinar alguma coisa, o pessoal quer o governo investigando como se ainda fosse o dono da empresa, o problema dessa pandemia é que a galera assiste muito filme de FBI e seriado CSI.
E se os hackers obtiveram dados de segurança nacional relacionados aos Super Tucano, AMX / AF1 modernizados, R-99/P-99, KC-390, Gripen E/F?
Não existe norma ABNT ou LGPD que protege tecnicamente 100% contra vazamento e roubo de dados.
O que existem são processos e boas práticas que minimizam os riscos. E só.
“Não existe norma ABNT ou LGPD que protege tecnicamente 100% contra vazamento e roubo de dados.
O que existem são processos e boas práticas que minimizam os riscos. E só.” E só.
voce afirmou o óbvio. Conhece análises de riscos amigo? As ações mitigatórias não funcionaram pelo jeito, logo a empresa deve adotar providências o que não a exime das responsabilidades legais.Um funcionário pode acionar juridicamente a EMBRAER com base legal.
Pessoal continua não entendendo o Luiz, mas um dia vão parar pra estudar, assim espero.
Luiz Antonio é o tipo do cara que se for assaltado vai dizer assim pro ladrão: “De acordo com o art. 5º da Constituição vc deve respeitar minha propriedade, não pode atirar em mim, dignidade da pessoa humana, etc.”… Ele acha que o Planeta Terra é uma repartição publica.
Eu não “acho” nada colega, apenas procuro opinar como base em regras estabelecidas pela sociedade que espera-se organizada e não opinar com base em torcida para este ou aquele. Já que você, pelo estilo, julga pessoas pela sua régua, argumente com base em evidências e não com achismos.
kkk sentiu
“Black Operations” ou “Low Impact Operations”? Não sabemos se o GSI ou outra agência de inteligência brasileira realizam esse tipo de operação atualmente. É aquela coisa, não se pode afirmar, muito menos descartar!
O GSI não é polícia e muito menos Procuradoria Pública. Embraer é empresa privada. Difícil heim?
Meu Senhor amado , ainda com essa mentalidade tosca e tacanha de querer a todo custo simplificar o mundo entre privado e público? É uma empresa de interesse nacional, de relevante interesse seja industrial, comercial e militar , todos aspectos importantes para bem estar e desenvolvimento da nação ( se ha ainda um significado esse termo nas terras tupiniquins) e sociedade. É corriqueiro notório a pratica de criar divisões ou contratar crackers para de GUERRA comercial desleal seja por parte de empresas concorrentes e ate Estados para beneficiar as próprias e danificar os rivais ( veja – se a china… Read more »
Ai, interesse nacional, Embraer é estratégica, ai, ai, esse papo furado de defesa de estatais que já encheu o caneco! “Nada é mais estratégico do que comida, mas isto não é razão para o Estado ser dono de supermercado”. Margareth Thatcher,
Tu és burro ou que ? A incapacidade de raciocínio e argumentação cria esses absurdos. Me da licença, tu crias um fantoche, um espantalho, depois debochas e “bates ” no teu próprio fantoche, alegando que seja o teu interlocutor .. Quanto a citação da Thatcher( que eu ate admiro ) , é verdade não estatizamos supermercados mas toda a fileira é fiscalizada e regulamentada , inclusive no país dela … Na França até a Danone foi considerada estratégica. só para tu ter uma ideia eu , em nenhum momento, postulei a estatização da EMBRAER . O argumento não era esse.… Read more »
A incapacidade de raciocínar com própria cabeça e argumentar cria esses absurdos. Me da licença criatura, tu crias um fantoche, um espantalho, depois debochas e “bates ” no teu próprio fantoche, alegando que seja o teu interlocutor .. aí é demais né. Quanto a citação da Thatcher( que eu ate admiro) , é verdade que não estatizamos supermercados mas toda a fileira é fiscalizada e regulamentada , inclusive no país dela … Na França até a Danone foi considerada estratégica. Só para tu ter uma ideia, eu em nenhum momento, postulei a estatização da EMBRAER . O argumento não era… Read more »
Quem falou em polícia??
Complementando: Quaisquer fornecedores e ou provedores de serviços selecionados por órgãos do governo e empresas privadas como parceiros devem ser avaliados, além dos requisitos técnicos, também no cumprimento dos requisitos estatutários e legais. Não é novidade para ninguém aliás. Basta cumprir.
Se dados vazaram é porque seu sistema de gestão de segurança da informação falhou e devem adotar as ações apropriadas. Não é competência do Governo. Não misture as bolas,
Perfeito.
Boa tarde Billy, se me permite acrescentar… acho que o GSI não possui poderes para investigar algo assim, talvez a PF ou até mesmo a PC ou MP dentro de algum Inquérito Policial ou algo assim. Por fazer parte do sisbin talvez o GSI, no máximo consiga ações de contrainteligência, mas não a identificação de responsabilização de hackers.. abraço.
Embraer é PRIVADA, a PF não tem NADA a ver com isso, e muito menos GSI ou qq outro órgão estatal.
Não parecia ser privada quando da fusão com a Boeing.
Quem falou em responsabilização?? Operações subterrâneas se responde com operações subterrâneas.
Ladrões invadem e roubam equipamentos do avião do juízo final de Putin.
https://www.thedrive.com/the-war-zone/38010/thieves-broke-into-russias-il-80-doomsday-plane
O problema amigo e que esses criminosos podem nem estar no Brasil. Ai fica dificil o GSI fazer algo. O mais seguro e melhor a segurança contra invasão. A chamada contra-inteligência.
EMBRAER está certa. Não se deve negociar com criminosos.
Preferiu absorver o risco e o prejuízo do vazamento do que “estimular” o crime pagando resgate.
A concorrencia agradece e a empresa de crackers ganhou só de um lado em vez dos dois, dessa vez…
Será mesmo só de um lado?
Vazamento de dados pessoais de funcionários é “menor impacto”? É contra a Lei nº 13.709/2018 amigo. Nessa lei não existem artigos para “passar pano”.
Em segurança da informação o impacto, a grosso modo é o prejuízo que a empresa pode vir a ter se acontecer algo que paralisa um determinado ativo, processo ou serviço.
Quem define a gravidade dos impactos em seus ativos é a própria empresa com base nas suas atividades, aliás processos e ou serviços são ativos também. O conhecimento e as informações pessoais de funcionários são ativos e dos mais difíceis de gerenciar e proteger..
A base é um calculo matemático que utiliza como parâmetros as Relevâncias dos Ativos, Serviços e Processos.
Esse “cálculo matemático” é chamado de estatística, probabilidades para ser mais exato, com “n” variáveis características vinculadas às atividades da empresa, seus objetivos, suas capacidades e seus métodos. Não existem fórmulas.matematicas e sim avaliações de riscos de acordo com o expertise de cada responsável por processo.
Risco = Impacto * Probabilidade
Impacto = (Relevância do ativo / 5)*(relevância do serviço/5)*(relevância do processo/5)
Probabilidade = (grau de ameaça/5)*(grau de vulnerabilidade/5)
Tenho planilhas de Excel só sobre isso envolvendo uma empresa fictícia para um trabalho de faculdade, literalmente você transforma tudo em números para no fim se chegar a uma porcentagem, cada elemento tem uma avaliação própria em que se determina a sua importância para as atividades da empresa, no caso em questão é usado uma escala de 5 sendo que 1 é o nível mais baixo e 5 o mais alto.
Você está fazendo um trabalho de faculdade e eu participei e participo de grupos de trabalho na ABNT e INMETRO, além de gerenciar equipes de auditores em Sistemas de Gestão para Segurança da Informação, além de atuar como Auditor-lider. Isso não me faz dono da verdade e sim intérprete de normas e regulamentos. Esse critério a qual citou é ótimo, porém deve ser aplicado com muitas reservas. Para seu caso acadêmico é aplicável, mas a abrangência da vida real requer muitas análises complementares interessantes para quem aprecia o tema.
Saudações Seguras colega
“A concorrencia agradece…ganhou só de um lado em vez dos dois”
Duvido.
Se tivesse comprador, não vazava informações na rede.
A concorrência está sujeita aos mesmos ciber ataques e ela também se preocupa em desestimular estas invasões.
Se há esses riscos, por que esses arquivos ficam conectados à rede?
Meio óbvio não?
Porque esses riscos são calculados.
Neste caso, não calcularam muito bem. Falha nas análises de riscos dos processos.
Com certeza calcularam bem, sabiam do risco, do impacto que teria e da probabilidade de acontecer, nesse caso a falha não está na análise de risco mas no processo de tratamento desse risco.
Desculpe mas sua análise foi contraditória. A análise de riscos abrange não apenas o risco, mas também as ações de contenção, ações mitigatórias e ações corretivas eficazes (que evitam reincidências de mesma causa raíz O resultado não foi o esperado, portanto….
Tudo faz da parte da Gestão de Risco, a análise de risco busca apresentar aonde que estão as vulnerabilidades, hackers, vírus, incêndios, etc…
depois de detectadas as vulnerabilidades é que se parte para o tratamento delas visando a sua redução, o mais correto a se dizer nesse caso da Embraer é que a gestão de risco foi falha, sendo o mais provável a falha dentro do tratamento que não conseguiu criar as proteções necessárias contra essa ameaça.
Eu disse exatamente isso, pois ficou evidente a falha nas medidas de contenção. O porque. Elas ocorreram é tarefa dos responsáveis pelo SGSI. As análises de causa, se bem realizadas apontarão para outras medidas que provavelmente chegarão ao RH com certeza.
Poxa, como pode uma multinacional não criptografar tudo o que é pasta?
E mais, esse tipo de coisa sobre código fonte não deveria nem estar conectado a internet.
Esses computadores deveriam ser apenas offline.
tente explicar isso para alguns colegas que entendem que tudo é apenas burocracia. O fato é que quando existe a vontade de acreditar em mula-sem-cabeça ninguém os convencerá do contrário por mais argumentos e evidências que demonstre.
Criptografia pode ser quebrada, sobre o resto tudo depende dos processos e dos serviços, se esse tipo de informação é necessária para a realização de algum processo ou serviço então ela terá que estar na rede.
No mais tudo é calculado nesse mundo de segurança da informação.
Grande argumento: portas também podem ser arrombadas, nem por isso as pessoas deixam de passar a chave na mesma.
Agora porque criptografia pode ser que brada é desculpa pra não usar?
Melhor nem usar o cinto de segurança do teu carro então, já que muitas vezes não é suficiente pra proteger o motorista….
Eu não falei nada disso.
O objetivo da criptografia é tornar mais difícil que alguém não autorizado possa ler os dados, mas ela não servirá de nada se um estagiário qualquer clicar em um link abrindo a porta para um hacker entrar na máquina e ai basta essa máquina ter acesso a esses dados que vazou tudo.
Segurança em rede é igual uma corrente, basta ter 1 elo fraco para ela cair.
Isso porque mal entramos na era da computação quântica…daí sim o bicho vai pegar!
A Embraer, é uma grande empresa na área de tecnologia sabedora de seus deveres é um deles é a LGPD. Deveria proteger melhor seus dados, essa lei estava se arrastando a mais de dois anos para entrar em vigor para dar tempo as empresas de se prepararem. Um ransoware é um malware que sequestra a maquina e pede resgate, mas sua instalação depende de ação humana, logo alguém com privilégios a certos drives que permitiu o ocorrido. E geralmente vem por e-mails (clicou em link de e-mail) ou vulnerabilidades. Deveria sim ter se preparado para isso, criam dividir a rede… Read more »
Crackers já invadiram a NASA, o Pentágono e muitas e muitas empresas de grande porte. Os dados precisam estar em rede para a empresa poder operar. Como pode uma empresa de porte operar se seus dados não são compartilhados? O problema é que para toda linha de defesa digital sempre haverá alguém que uma hora vai vencer estas barreiras. Já faz tempo vivemos uma “guerra cibernética” que nos afeta todos os dias com clonagem de cartões, de celulares, computadores sendo hackeados e etc… e isso por gente chinfrim. Agora imagina grupos organizados e especializados neste tipo de crime. A empresa… Read more »
Ok, não se negocia com esse tipo de gente. Mas o que diz a lei (LGPD) sobre empresa que deixa vazar dados? Dados de colaboradores, dados de clientes. A área da TI é assim, ninguém acha que se deve fazer o investimento em segurança da informação até que tenha prejuízo de alguma forma. Não se levou a serio essa área, veja como o sistema bancário trata suas informações e as protegem. Há uma infinidade de soluções para se trabalhar em rede de forma segura, sem que o “estagiário de RH” abra um e-mail qualquer e deixe um ransoware se espalhar,… Read more »
Atacaram a Leonardo italiana também
Italy’s Leonardo Defense Group Hit By Major Hacker Attack (defense-aerospace.com)
Mundo digital complicado em que vivemos. Qualquer organizacao, publica ou privada eh vulneravel e estah sujeita a perdas imensuraveis por causa do ransomware. Grandes organizacoes que levam seguranca a serio tem equipes talentosas de protecao de seguranca (fisica e digital). Atualizam hardware/software contra vulnerabilidades, contratam equipes externas para explorar potencials pontos de falha, etc. Mas basta um funcionario receber um email de fora (phishing) com um link derecionado para um site malicioso, quase tudo se poe a perder. Pois eh, basta apenas um descuido. Muitas vezes o ponto fraco estah no lado humano e somente com educacao interna, mudanca de… Read more »
Srs
Sistemas e dados críticos, segunda as práticas básicas de segurança, não podem ser acessáveis por qualquer meio externo, ou seja, não podem, de nenhuma forma estar conectados a internet.
Isto é praticamente um axioma da segurança de funcionamento.
Portanto, é imaginável que processos e dados de importância vital para a Embraer não estejam passíveis de acesso pela internet.
Sds
Tenho observado em algumas empresas em fase de implementação do Sistema de Gestão Para Segurança da Informação e na totalidade delas um conceito ja está firmado: Informações compartimentadas e pulverizadas (o acesso a uma determinada informação é inócuo, sem os acessos às demais). Além disso o conceito que “um funcionário não deve saber nada além do necessário para cumprir suas tarefas”, o que conflita com os conceitos das normas de qualidade que buscam a capacitação massiva do funcionário para que este se torne “multi-função”. A implementação de sistemas de segurança da informação estão e continuarão a conflitar com as normas… Read more »
A Kopter Suíça que foi recentemente comprada pela Leonardo também sofre um ataque e parece que eles não quiseram pagar também não.
“Dados da rede interna de Kopter foram publicados no blog da gangue LockBit, hospedado na dark web.”
Ransomware hits helicopter maker Kopter | ZDNet
Os comentários do Luiz Antonio me lembraram um episódio da história Romana. Pompeu – o Grande – era Consul e estava com suas legiões fazendo guerra contra o Ponto, um reino onde é hoje a Turquia. Pompeu cercava uma cidade murada quando os anciões que a governavam foram pessoalmente até ele, junto com seu estado maior, e argumentaram diversas leis (art. 5º, ABNT, dignidade da pessoa humana, etc) kkkk Pompeu – o Grande – respondeu assim: “ESQUEÇAM AS LEIS, NÓS ESTAMOS ARMADOS!!” Foram os dias de glória de Pompeu. Tempos depois ele enfrentou Julio Cesar na guerra civil. Os senadores… Read more »
Os comentários do Luis Antonio me fez sentir vergonha alheia rs…
Não dá para acreditar que alguem está tão desconectado da realidade
Já disse!
Se quiserem me dar os documentos, projetos do AMX vou adorar kkkkk!
Esses caras deveriam é ser contratados pela ABIN como analistas (assim como faz a CIA).
Imagina quanta tecnologias eles conseguiriam invadindo computadores da Avic, Sukhoi , Boing rsrs .
Bom acho que para resolver isso tem que ter um estilo RUSSO de solução, Se fazem alguma coisa contra a Mãe russa o governo descobre familiares e pronto so libera ate o simpático se entregar.
A Embraer deveria é pagar a PLR e pensar em ter um plano de aumento salarial! Isso sim deixa qualquer ataque longe de sua rede!
Na Rússia existe um acordo não escrito de que as gangues de hackers podem fazer tudo.
Menos atacar ativos do estado russo.
Ai a coisa muda de figura.
Provavelmente, muda para o tradicional estilo russo…
Acho q tem estagiário divagando por aqui, afinal a EMBRAER é vítima, cara não tem nada a ver com LGPD neste caso, acho q tá deslumbrado com esta lei ou quer trabalhar com isto mas do jeito errado…estuda…
Hackear a Embraer é fichinha pequena, entrar numa base Russa e levar o equipamento de rádio do avião super secreto do Juízo Final é para poucos!
https://www.dailymail.co.uk/news/article-9029807/Thieves-strike-Russias-Doomsday-plane-flying-command-centre-survive-nuclear-war.html?ito=social-twitter_mailonline