Embraer

Embraer

A empresa brasileira Embraer, considerada hoje a terceira maior fabricante de aviões depois da Boeing e da Airbus, foi vítima de um ataque de ransomware no mês passado.

Hoje, os hackers envolvidos na intrusão vazaram alguns dos arquivos privados da empresa como vingança depois que o fabricante de aviões se recusou a negociar e, em vez disso, escolheu restaurar os sistemas de backups sem pagar o resgate exigido.

Os arquivos da Embraer eram compartilhados em um site hospedado na dark web, administrado pela gangue de ransomware RansomExx (também conhecido como Defray777).

Os dados carregados neste site incluíram amostras de dados de funcionários, contratos comerciais, fotos de simulações de voo e código-fonte, entre outros, de acordo com amostras analisadas pela ZDNet.

O vazamento de hoje confirma que os hackers conseguiram roubar dados dos servidores da empresa. A Embraer divulgou um comunicado à imprensa na semana passada, admitindo uma violação de segurança, mas não confirmou que o incidente não envolveu ransomware nem roubo de dados.

A fabricante do avião disse que os atacantes tiveram “acesso a apenas um ambiente” e que o incidente causou apenas um impacto temporário em “algumas de suas operações”.

Um porta-voz da Embraer não retornou um pedido de comentário enviado pela ZDNet hoje, após o vazamento.

FONTE: ZDNet

Subscribe
Notify of
guest

74 Comentários
oldest
newest most voted
Inline Feedbacks
View all comments
Billy

Sendo a EMBRAER de interesse Nacional, o GSI deveria investigar e identificar esses hackers e devidamente neutraliza-los permanentemente.

Luiz Antonio

O que a EMBRAER deve fazer é proteger seus dados conforme os requisitos da Norma ABNT NBR 27001 (o que espero que atenda) e à A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, em vigor desde agosto/2020., aliás como quaisquer organizações regularmente ativas. Não tem privilégios e nem pode ser tratada de forma seletiva.

J.J.abrão

LGPD não tem nada a ver com um ataque hacker que utiliza sistemática criminosa além do que exigido pelas normas acima…

Luiz Antonio

Vazamentos de dados pessoais de funcionários implicam na LGPD meu caro, leia direito.

Clésio Luiz

Tudo o que você disse não isenta os criminosos de uma investigação. O ato deles é ilícito e cabe ao poder público, e não à Embraer, punir os meliantes.

Luiz Antonio

Para isso a Embraer deve promover suas ações e em paralelo registrar um ocorrência. Não cabe ao poder público adotar ações sem que tenha um registro formal.pelo prejudicado. É um procedimento comum.

Carlos Crispim

Companheiro, a Embraer já foi pública, agora não é mais, graças a Deus!!!!!!!!!!! Chega de meter o Estado em tudo, já ganhou rios de dinheiro , merecidqademnet, era uma fabricazinha de m$rda e foi provatizada, o Estado não é mais babá de empresa, ela que cuide da sua segurança, o povo já cansou de pagar a conta, os empresários que paguem as suas.

Marcelo M

O mundo não é burocracia. Respeitar norma técnica não impede ataque hacker. Fosse assim, as grandes empresas não contratariam hackers para seu firewall, mas burocratas batedores de carimbo.

Luiz Antonio

Não citei apenas a norma técnica. Citei a Lei que está em vigor desde agosto/2020.

Carlos Crispim

Luis, esse pessoal não entende, desista de tentar ensinar alguma coisa, o pessoal quer o governo investigando como se ainda fosse o dono da empresa, o problema dessa pandemia é que a galera assiste muito filme de FBI e seriado CSI.

H.Saito

E se os hackers obtiveram dados de segurança nacional relacionados aos Super Tucano, AMX / AF1 modernizados, R-99/P-99, KC-390, Gripen E/F?

MMerlin

Não existe norma ABNT ou LGPD que protege tecnicamente 100% contra vazamento e roubo de dados.
O que existem são processos e boas práticas que minimizam os riscos. E só.

Alexandre Cardoso

“Não existe norma ABNT ou LGPD que protege tecnicamente 100% contra vazamento e roubo de dados.
O que existem são processos e boas práticas que minimizam os riscos. E só.” E só.

Luiz Antonio

voce afirmou o óbvio. Conhece análises de riscos amigo? As ações mitigatórias não funcionaram pelo jeito, logo a empresa deve adotar providências o que não a exime das responsabilidades legais.Um funcionário pode acionar juridicamente a EMBRAER com base legal.

Last edited 4 anos atrás by Luiz Antonio
Carlos Crispim

Pessoal continua não entendendo o Luiz, mas um dia vão parar pra estudar, assim espero.

sub urbano

Luiz Antonio é o tipo do cara que se for assaltado vai dizer assim pro ladrão: “De acordo com o art. 5º da Constituição vc deve respeitar minha propriedade, não pode atirar em mim, dignidade da pessoa humana, etc.”… Ele acha que o Planeta Terra é uma repartição publica.

Luiz Antonio

Eu não “acho” nada colega, apenas procuro opinar como base em regras estabelecidas pela sociedade que espera-se organizada e não opinar com base em torcida para este ou aquele. Já que você, pelo estilo, julga pessoas pela sua régua, argumente com base em evidências e não com achismos.

Last edited 4 anos atrás by Luiz Antonio
João Fernando

kkk sentiu

MARS

“Black Operations” ou “Low Impact Operations”? Não sabemos se o GSI ou outra agência de inteligência brasileira realizam esse tipo de operação atualmente. É aquela coisa, não se pode afirmar, muito menos descartar!

Last edited 4 anos atrás by MARS
Luiz Antonio

O GSI não é polícia e muito menos Procuradoria Pública. Embraer é empresa privada. Difícil heim?

Thiago

Meu Senhor amado , ainda com essa mentalidade tosca e tacanha de querer a todo custo simplificar o mundo entre privado e público? É uma empresa de interesse nacional, de relevante interesse seja industrial, comercial e militar , todos aspectos importantes para bem estar e desenvolvimento da nação ( se ha ainda um significado esse termo nas terras tupiniquins) e sociedade. É corriqueiro notório a pratica de criar divisões ou contratar crackers para de GUERRA comercial desleal seja por parte de empresas concorrentes e ate Estados para beneficiar as próprias e danificar os rivais ( veja – se a china… Read more »

Carlos Crispim

Ai, interesse nacional, Embraer é estratégica, ai, ai, esse papo furado de defesa de estatais que já encheu o caneco! “Nada é mais estratégico do que comida, mas isto não é razão para o Estado ser dono de supermercado”. Margareth Thatcher,

Thiago

Tu és burro ou que ? A incapacidade de raciocínio e argumentação cria esses absurdos. Me da licença, tu crias um fantoche, um espantalho, depois debochas e “bates ” no teu próprio fantoche, alegando que seja o teu interlocutor .. Quanto a citação da Thatcher( que eu ate admiro ) , é verdade não estatizamos supermercados mas toda a fileira é fiscalizada e regulamentada , inclusive no país dela … Na França até a Danone foi considerada estratégica. só para tu ter uma ideia eu , em nenhum momento, postulei a estatização da EMBRAER . O argumento não era esse.… Read more »

Last edited 4 anos atrás by Thiago
Thiago

A incapacidade de raciocínar com própria cabeça e argumentar cria esses absurdos. Me da licença criatura, tu crias um fantoche, um espantalho, depois debochas e “bates ” no teu próprio fantoche, alegando que seja o teu interlocutor .. aí é demais né. Quanto a citação da Thatcher( que eu ate admiro) , é verdade que não estatizamos supermercados mas toda a fileira é fiscalizada e regulamentada , inclusive no país dela … Na França até a Danone foi considerada estratégica. Só para tu ter uma ideia, eu em nenhum momento, postulei a estatização da EMBRAER . O argumento não era… Read more »

Billy

Quem falou em polícia??

Luiz Antonio

Complementando: Quaisquer fornecedores e ou provedores de serviços selecionados por órgãos do governo e empresas privadas como parceiros devem ser avaliados, além dos requisitos técnicos, também no cumprimento dos requisitos estatutários e legais. Não é novidade para ninguém aliás. Basta cumprir.
Se dados vazaram é porque seu sistema de gestão de segurança da informação falhou e devem adotar as ações apropriadas. Não é competência do Governo. Não misture as bolas,

Last edited 4 anos atrás by Luiz Antonio
Carlos Crispim

Perfeito.

M.@.K

Boa tarde Billy, se me permite acrescentar… acho que o GSI não possui poderes para investigar algo assim, talvez a PF ou até mesmo a PC ou MP dentro de algum Inquérito Policial ou algo assim. Por fazer parte do sisbin talvez o GSI, no máximo consiga ações de contrainteligência, mas não a identificação de responsabilização de hackers.. abraço.

Carlos Crispim

Embraer é PRIVADA, a PF não tem NADA a ver com isso, e muito menos GSI ou qq outro órgão estatal.

Billy

Não parecia ser privada quando da fusão com a Boeing.

Billy

Quem falou em responsabilização?? Operações subterrâneas se responde com operações subterrâneas.

nonato

Ladrões invadem e roubam equipamentos do avião do juízo final de Putin.
https://www.thedrive.com/the-war-zone/38010/thieves-broke-into-russias-il-80-doomsday-plane

Cristiano de Aquino Campos

O problema amigo e que esses criminosos podem nem estar no Brasil. Ai fica dificil o GSI fazer algo. O mais seguro e melhor a segurança contra invasão. A chamada contra-inteligência.

Glasquis 7

EMBRAER está certa. Não se deve negociar com criminosos.
Preferiu absorver o risco e o prejuízo do vazamento do que “estimular” o crime pagando resgate.

Last edited 4 anos atrás by Glasquis 7
Joker

A concorrencia agradece e a empresa de crackers ganhou só de um lado em vez dos dois, dessa vez…

Luiz Antonio

Será mesmo só de um lado?

Luiz Antonio

Vazamento de dados pessoais de funcionários é “menor impacto”? É contra a Lei nº 13.709/2018 amigo. Nessa lei não existem artigos para “passar pano”.

Last edited 4 anos atrás by Luiz Antonio
Wilson Look

Em segurança da informação o impacto, a grosso modo é o prejuízo que a empresa pode vir a ter se acontecer algo que paralisa um determinado ativo, processo ou serviço.

Luiz Antonio

Quem define a gravidade dos impactos em seus ativos é a própria empresa com base nas suas atividades, aliás processos e ou serviços são ativos também. O conhecimento e as informações pessoais de funcionários são ativos e dos mais difíceis de gerenciar e proteger..

Wilson Look

A base é um calculo matemático que utiliza como parâmetros as Relevâncias dos Ativos, Serviços e Processos.

Luiz Antonio

Esse “cálculo matemático” é chamado de estatística, probabilidades para ser mais exato, com “n” variáveis características vinculadas às atividades da empresa, seus objetivos, suas capacidades e seus métodos. Não existem fórmulas.matematicas e sim avaliações de riscos de acordo com o expertise de cada responsável por processo.

Wilson Look

Risco = Impacto * Probabilidade

Impacto = (Relevância do ativo / 5)*(relevância do serviço/5)*(relevância do processo/5)

Probabilidade = (grau de ameaça/5)*(grau de vulnerabilidade/5)

Tenho planilhas de Excel só sobre isso envolvendo uma empresa fictícia para um trabalho de faculdade, literalmente você transforma tudo em números para no fim se chegar a uma porcentagem, cada elemento tem uma avaliação própria em que se determina a sua importância para as atividades da empresa, no caso em questão é usado uma escala de 5 sendo que 1 é o nível mais baixo e 5 o mais alto.

Luiz Antonio

Você está fazendo um trabalho de faculdade e eu participei e participo de grupos de trabalho na ABNT e INMETRO, além de gerenciar equipes de auditores em Sistemas de Gestão para Segurança da Informação, além de atuar como Auditor-lider. Isso não me faz dono da verdade e sim intérprete de normas e regulamentos. Esse critério a qual citou é ótimo, porém deve ser aplicado com muitas reservas. Para seu caso acadêmico é aplicável, mas a abrangência da vida real requer muitas análises complementares interessantes para quem aprecia o tema.
Saudações Seguras colega

Glasquis 7

A concorrencia agradece…ganhou só de um lado em vez dos dois”

Duvido.

Se tivesse comprador, não vazava informações na rede.

A concorrência está sujeita aos mesmos ciber ataques e ela também se preocupa em desestimular estas invasões.

nonato

Se há esses riscos, por que esses arquivos ficam conectados à rede?

Fernando EMB

Meio óbvio não?

Wilson Look

Porque esses riscos são calculados.

Luiz Antonio

Neste caso, não calcularam muito bem. Falha nas análises de riscos dos processos.

Wilson Look

Com certeza calcularam bem, sabiam do risco, do impacto que teria e da probabilidade de acontecer, nesse caso a falha não está na análise de risco mas no processo de tratamento desse risco.

Luiz Antonio

Desculpe mas sua análise foi contraditória. A análise de riscos abrange não apenas o risco, mas também as ações de contenção, ações mitigatórias e ações corretivas eficazes (que evitam reincidências de mesma causa raíz O resultado não foi o esperado, portanto….

Wilson Look

Tudo faz da parte da Gestão de Risco, a análise de risco busca apresentar aonde que estão as vulnerabilidades, hackers, vírus, incêndios, etc…
depois de detectadas as vulnerabilidades é que se parte para o tratamento delas visando a sua redução, o mais correto a se dizer nesse caso da Embraer é que a gestão de risco foi falha, sendo o mais provável a falha dentro do tratamento que não conseguiu criar as proteções necessárias contra essa ameaça.

Luiz Antonio

Eu disse exatamente isso, pois ficou evidente a falha nas medidas de contenção. O porque. Elas ocorreram é tarefa dos responsáveis pelo SGSI. As análises de causa, se bem realizadas apontarão para outras medidas que provavelmente chegarão ao RH com certeza.

Guacamole

Poxa, como pode uma multinacional não criptografar tudo o que é pasta?
E mais, esse tipo de coisa sobre código fonte não deveria nem estar conectado a internet.
Esses computadores deveriam ser apenas offline.

Luiz Antonio

tente explicar isso para alguns colegas que entendem que tudo é apenas burocracia. O fato é que quando existe a vontade de acreditar em mula-sem-cabeça ninguém os convencerá do contrário por mais argumentos e evidências que demonstre.

Wilson Look

Criptografia pode ser quebrada, sobre o resto tudo depende dos processos e dos serviços, se esse tipo de informação é necessária para a realização de algum processo ou serviço então ela terá que estar na rede.

No mais tudo é calculado nesse mundo de segurança da informação.

Guacamole

Grande argumento: portas também podem ser arrombadas, nem por isso as pessoas deixam de passar a chave na mesma.

Agora porque criptografia pode ser que brada é desculpa pra não usar?

Melhor nem usar o cinto de segurança do teu carro então, já que muitas vezes não é suficiente pra proteger o motorista….

Wilson Look

Eu não falei nada disso.

O objetivo da criptografia é tornar mais difícil que alguém não autorizado possa ler os dados, mas ela não servirá de nada se um estagiário qualquer clicar em um link abrindo a porta para um hacker entrar na máquina e ai basta essa máquina ter acesso a esses dados que vazou tudo.

Segurança em rede é igual uma corrente, basta ter 1 elo fraco para ela cair.

Gabriel BR

Isso porque mal entramos na era da computação quântica…daí sim o bicho vai pegar!

OSEIAS

A Embraer, é uma grande empresa na área de tecnologia sabedora de seus deveres é um deles é a LGPD. Deveria proteger melhor seus dados, essa lei estava se arrastando a mais de dois anos para entrar em vigor para dar tempo as empresas de se prepararem. Um ransoware é um malware que sequestra a maquina e pede resgate, mas sua instalação depende de ação humana, logo alguém com privilégios a certos drives que permitiu o ocorrido. E geralmente vem por e-mails (clicou em link de e-mail) ou vulnerabilidades. Deveria sim ter se preparado para isso, criam dividir a rede… Read more »

FernandoEMB

Crackers já invadiram a NASA, o Pentágono e muitas e muitas empresas de grande porte. Os dados precisam estar em rede para a empresa poder operar. Como pode uma empresa de porte operar se seus dados não são compartilhados? O problema é que para toda linha de defesa digital sempre haverá alguém que uma hora vai vencer estas barreiras. Já faz tempo vivemos uma “guerra cibernética” que nos afeta todos os dias com clonagem de cartões, de celulares, computadores sendo hackeados e etc… e isso por gente chinfrim. Agora imagina grupos organizados e especializados neste tipo de crime. A empresa… Read more »

OSEIAS

Ok, não se negocia com esse tipo de gente. Mas o que diz a lei (LGPD) sobre empresa que deixa vazar dados? Dados de colaboradores, dados de clientes. A área da TI é assim, ninguém acha que se deve fazer o investimento em segurança da informação até que tenha prejuízo de alguma forma. Não se levou a serio essa área, veja como o sistema bancário trata suas informações e as protegem. Há uma infinidade de soluções para se trabalhar em rede de forma segura, sem que o “estagiário de RH” abra um e-mail qualquer e deixe um ransoware se espalhar,… Read more »

Junior
A C

Mundo digital complicado em que vivemos. Qualquer organizacao, publica ou privada eh vulneravel e estah sujeita a perdas imensuraveis por causa do ransomware. Grandes organizacoes que levam seguranca a serio tem equipes talentosas de protecao de seguranca (fisica e digital). Atualizam hardware/software contra vulnerabilidades, contratam equipes externas para explorar potencials pontos de falha, etc. Mas basta um funcionario receber um email de fora (phishing) com um link derecionado para um site malicioso, quase tudo se poe a perder. Pois eh, basta apenas um descuido. Muitas vezes o ponto fraco estah no lado humano e somente com educacao interna, mudanca de… Read more »

Control

Srs
Sistemas e dados críticos, segunda as práticas básicas de segurança, não podem ser acessáveis por qualquer meio externo, ou seja, não podem, de nenhuma forma estar conectados a internet.
Isto é praticamente um axioma da segurança de funcionamento.
Portanto, é imaginável que processos e dados de importância vital para a Embraer não estejam passíveis de acesso pela internet.
Sds

Luiz Antonio

Tenho observado em algumas empresas em fase de implementação do Sistema de Gestão Para Segurança da Informação e na totalidade delas um conceito ja está firmado: Informações compartimentadas e pulverizadas (o acesso a uma determinada informação é inócuo, sem os acessos às demais). Além disso o conceito que “um funcionário não deve saber nada além do necessário para cumprir suas tarefas”, o que conflita com os conceitos das normas de qualidade que buscam a capacitação massiva do funcionário para que este se torne “multi-função”. A implementação de sistemas de segurança da informação estão e continuarão a conflitar com as normas… Read more »

Junior

A Kopter Suíça que foi recentemente comprada pela Leonardo também sofre um ataque e parece que eles não quiseram pagar também não.

Dados da rede interna de Kopter foram publicados no blog da gangue LockBit, hospedado na dark web.”

Ransomware hits helicopter maker Kopter | ZDNet

sub urbano

Os comentários do Luiz Antonio me lembraram um episódio da história Romana. Pompeu – o Grande – era Consul e estava com suas legiões fazendo guerra contra o Ponto, um reino onde é hoje a Turquia. Pompeu cercava uma cidade murada quando os anciões que a governavam foram pessoalmente até ele, junto com seu estado maior, e argumentaram diversas leis (art. 5º, ABNT, dignidade da pessoa humana, etc) kkkk Pompeu – o Grande – respondeu assim: “ESQUEÇAM AS LEIS, NÓS ESTAMOS ARMADOS!!” Foram os dias de glória de Pompeu. Tempos depois ele enfrentou Julio Cesar na guerra civil. Os senadores… Read more »

Lacerda

Os comentários do Luis Antonio me fez sentir vergonha alheia rs…

Não dá para acreditar que alguem está tão desconectado da realidade

Foxtrot

Já disse!
Se quiserem me dar os documentos, projetos do AMX vou adorar kkkkk!
Esses caras deveriam é ser contratados pela ABIN como analistas (assim como faz a CIA).
Imagina quanta tecnologias eles conseguiriam invadindo computadores da Avic, Sukhoi , Boing rsrs .

carlos mendes

Bom acho que para resolver isso tem que ter um estilo RUSSO de solução, Se fazem alguma coisa contra a Mãe russa o governo descobre familiares e pronto so libera ate o simpático se entregar.

Hebert

A Embraer deveria é pagar a PLR e pensar em ter um plano de aumento salarial! Isso sim deixa qualquer ataque longe de sua rede!

paulo cesar

Na Rússia existe um acordo não escrito de que as gangues de hackers podem fazer tudo.
Menos atacar ativos do estado russo.
Ai a coisa muda de figura.
Provavelmente, muda para o tradicional estilo russo…

Lobo do mar

Acho q tem estagiário divagando por aqui, afinal a EMBRAER é vítima, cara não tem nada a ver com LGPD neste caso, acho q tá deslumbrado com esta lei ou quer trabalhar com isto mas do jeito errado…estuda…

Fabio Araujo

Hackear a Embraer é fichinha pequena, entrar numa base Russa e levar o equipamento de rádio do avião super secreto do Juízo Final é para poucos!

https://www.dailymail.co.uk/news/article-9029807/Thieves-strike-Russias-Doomsday-plane-flying-command-centre-survive-nuclear-war.html?ito=social-twitter_mailonline