Desde o sábado (19), os sites de Americanas e Submarino estão fora do ar
- o de Shoptime foi retirado
na segunda-feira. Em comunicado, a empresa diz que suspendeu proativamente parte dos servidores de e-commerce por questões de segurança. Mas o que aconteceu com o site da Americanas, afinal? Outras empresas estão em risco? Por que estamos vendo cada vez mais episódios desse tipo? O Tecnoblog conversou com especialistas em segurança da informação para entender melhor o que está acontecendo neste e em outros casos.
As hipóteses para a invasão ao site da Americanas
Até a manhã desta quarta-feira (23), a Americanas não reestabeleceu seu site nem os de Submarino e Shoptime. Publicamente, a empresa admite apenas ter sofrido um "acesso não autorizado" e retirado seus sites do ar por precaução.
Thiago Ayub, diretor de tecnologia da Sage Networks, diz ao Tecnoblog que é difícil saber o que aconteceu com as informações atualmente disponíveis.
Ele menciona mensagens que apareceram no canal oficial do grupo Lapsus, o mesmo que reivindica ser o responsável pelo ataque ao Ministério da Saúde no fim de 2021. A linha do tempo entre o episódio e as mensagens bate, mas mesmo assim, é difícil tomar como verdade o que um grupo desse tipo diz, pondera Ayub.
Pela demora em reestabelecer os sites, ele acredita que as equipes técnicas estejam com dificuldade de pontuar quando a invasão começou e quais dados ainda são consistentes. Essa lentidão lembra muito o que aconteceu com o Ministério da Saúde e o ConecteSUS, que ficou indisponível por semanas.
Outro ponto em comum entre os dois ataques pode ser o sequestro do DNS. Quem levanta essa hipótese é Thiago Mourão, diretor de segurança da Check Point, companhia especializada no assunto.
O DNS é como uma "agenda telefônica" da internet, que transforma os nomes dos sites nos endereços IP. Com o DNS da Americanas sequestrado, um atacante poderia aplicar um golpe, levando clientes a um site falso, explica Mourão ao Tecnoblog.
Fabio Covolo Mazzo, especialista em segurança e arquiteto de software da CTC, suspeita de uma brecha de segurança na plataforma de e-commerce usada pela empresa.
Em conversa com o Tecnoblog, Mazzo diz que não pode revelar qual é a plataforma por uma questão de compliance, mas que ela é líder de mercado e usada por outras empresas, que também podem estar em risco. A brecha de segurança pode ter levado a um ataque direcionado.
Dinheiro e fama podem estar entre os motivos
Até agora, não se sabe o que motivou a invasão aos sistemas da Americanas. Como lembra Ayub, a empresa é uma sociedade anônima e tem ações listadas na bolsa de valores. Por isso, é questão de tempo até descobrirmos, já que ela precisará prestar esclarecimentos aos investidores e explicar o que aconteceu.
Uma possível motivação é o ganho financeiro. As quadrilhas, explica Mazzo, se especializam para vender dados obtidos com invasões. Outra forma de rentabilizar a ação é usando ransomware, programas que criptografam os dados do sistema e que só os liberam com o pagamento de um resgate.
Mazzo diz que as quadrilhas estão cada vez mais especializadas. "Não é mais coisa de adolescente", diz o especialista. Os grupos conseguem acesso por meio de brechas do tipo zero-day — aquelas que os criminosos descobrem antes dos desenvolvedores das plataformas, que ficam com zero dia para resolvê-la.
A explicação, porém, pode ser outra. Ayub não descarta que seja um ato de vandalismo, motivado apenas pelo prazer de ver uma empresa gigante sucumbir.
Thiago Mourão, engenheiro de segurança da Check Point, vai nessa mesma linha. Ele ressalta que a repercussão cada vez maior na mídia de casos assim atrai mais ataques e afeta a percepção do público.
Outra hipótese é que seja um ataque vindo de algum concorrente. "Há casos de ataque de DDoS [negação de serviço] que tiveram pessoas presas, e elas eram ligadas a empresas concorrentes da que foi atacada", conta Ayub.
Proteção é só o começo
A resposta óbvia para o que as empresas deveriam fazer é investir em mais segurança. Como fazer isso, porém, é uma questão bem mais complicada.
Mourão relembra que nenhuma empresa está 100% a salvo de incidentes assim. Por isso, os planos precisam ir além da proteção e envolver também a detecção e a resposta.
Mazzo explica que uma forma de diminuir os riscos de invasão é por meio do chamado penetration testing, ou pentest. Este é o nome dado ao processo de tentar invadir deliberadamente um sistema para descobrir falhas e brechas. Geralmente, uma empresa especializada é contratada para este processo, que é exigido por empresas de pagamentos.
Outra forma de se proteger é por meio da criptografia de dados. Assim, fica mais difícil que das informações armazenadas possam ser vendidas ou utilizadas de outra forma pelos invasores. "Mesmo que os criminosos tenham acesso, ele se torna inútil", explica Mazzo.
Para Ayub, as empresas precisam adotar uma política de tolerância zero na segurança da informação. O que isso significa? Insistir para que todos na organização tenham máquinas atualizadas, senhas fortes e tokens, entre outros itens. "Basta um login, um usuário, uma senha frágil para uma invasão ser feita", alerta.
Mesmo que isso não seja suficiente, é possível contar com softwares que usam inteligência artificial para detectar em tempo real anomalias no sistema, como tráfegos fora do padrão da rede, adiciona Mazzo. Eles podem ser um último recurso para prevenir ataques como este à Americanas.
Ayub também reforça a necessidade de um plano de contingência para episódios do tipo. Esse plano não deve envolver apenas o setor de tecnologia da informação (TI), mas também a área jurídica e de comunicação.
O especialista destaca a demora da Americanas para colocar um comunicado em seus sites, o que mostra que não havia planejamento para incidentes assim.
O Brasil está preparado?
A Americanas não foi a primeira empresa de e-commerce a sofrer com problemas técnicos e ter que tirar seu site do ar.
Em agosto de 2021, a Renner sofreu um ataque hacker , e sua loja online ficou indisponível. Meses depois, em outubro, foi a vez de a CVC Corp — dona das marcas CVC e Submarino Viagens — ficar com a central de atendimento sem funcionar depois de uma ação do tipo.
Apesar disso, Mazzo acredita que o Brasil está em uma boa condição para lidar com situações desse tipo. O especialista cita o aumento e a qualidade das empresas de segurança de informação. Mourão também defende que o país tem uma cultura de segurança e que as empresas já entenderam a importância do tema.
Ayub discorda. Ele acha que as empresas investem pouco em TI e veem o departamento como um prestador interno de serviço, não como um setor estratégico. Além disso, lamenta que as organizações não valorizem os profissionais brasileiros e não invistam na formação de mão de obra especializada.
"A indústria e o comércio já fizeram isso com o sistema S, para capacitar os trabalhadores. Por que o setor de TI não pode fazer o mesmo?", questiona. Mesmo assim, o fato de o país ter uma economia grande e uma grande adoção de tecnologia o torna alvo de grupos que praticam esse tipo de ataques. "Nossa vidraça é enorme. Temos um alvo desenhado nas nossas costas", diz Ayub.
Cuidado com informações que estavam na Americanas
Você não é responsável pelo site da Americanas nem de nenhuma outra empresa. Mesmo assim, há algumas medidas que você pode tomar para se proteger.
Mazzo recomenda bloquear temporariamente cartões de crédito que estavam cadastrados nas lojas, por precaução. Ayub diz que, se você usava a mesma senha da Americanas, do Submarino ou do Shoptime em outros sites, é melhor mudá-la.
Além disso, enquanto não se sabe a quais dados os possíveis invasores possam ter tido acesso, é melhor redobrar a atenção contra golpes e fraudes. Acompanhar o Registrato também é uma boa, de acordo com Ayub — esta ferramenta do Banco Central mostra quais são as contas correntes abertas e os empréstimos feitos usando seu CPF.