A startup bancária norte-americana Dave, com valor de mercado estimado em US$ 1 bilhão, confirmou no dia 25 de julho que seu aplicativo para celular sofreu uma violação de dados, que expôs detalhes pessoais de seus usuários. Segundo a empresa, os invasores conseguiram acessar sua rede “como resultado de uma violação na plataforma de análise de dados Waydev, um ex-fornecedor de serviços terceirizados da Dave”.

Sem dar muitos detalhes sobre o ataque, a Dave informou que um número não especificado de seus mais de 7 milhões de “nomes, e-mails, datas de nascimento, endereços físicos e números de telefone” foi exposto, embora nenhum dado de cartão de crédito, número de conta bancária ou número de Seguro Social tenha sido roubado. Entretanto, o site de notificação de violações Have I Been Pwned (HIBP) analisou um lote de dados roubados da Dave em circulação e contou 7,5 milhões de linhas de dados, revelando informações sobre cerca de 3 milhões de usuários únicos.

Especialistas em segurança dizem que o indivíduo ou grupo chamado ShinyHunters parece estar por trás do ataque contra a Dave e da tentativa de vender primeiro os dados roubados com o alias “hasway” no fórum de hackers RAID para, em seguida, simplesmente disponibilizá-los on-line de graça ou quase gratuitamente.

A Dave afirma que já identificou o ponto de entrada dos hackers e notificou os clientes sobre o incidente. As senhas do aplicativo Dave também estão sendo redefinidas após serem expostas.

Dados roubados da Dave para venda em um fórum de crimes cibernéticos (Fonte: ZeroFox)

Como o banco de dados da Dave foi acessado?

Até o momento, algumas evidências mostram que o Shiny Hunters enganou funcionários da Dave com phishing. O grupo já havia anunciado na Dark Web e em fóruns de hackers, a venda de milhões de registros roubados, obtidos da empresa de comércio eletrônico indonésia Tokopedia, da plataforma indiana de aprendizagem on-line Unacademy, da empresa de entrega de refeições HomeChef, baseada em Chicago, do serviço de impressão on-line e loja de fotos ChatBooks , do site de notícias da universidade Chronicle.com, bem como de repositórios GitHub da Microsoft e dos sites: Vakina.com.br, Truefire.com, Havenly.com, Drizly.com, Proctoru.com, Scentbird.com e Appen.com, segundo a empresa de segurança ZeroFox.

Em uma postagem em um fórum de hackers, um usuário chamado “Sheep” falou sobre a violação da Dave: “Esse banco de dados foi invadido por meio do envio de e-mails de phishing do GitHub para os funcionários da Dave.com. Os funcionários foram identificados ao pesquisar desenvolvedores da organização nas plataformas LinkedIn, Crunchbase e Angel. Todos os bancos de dados vendidos pela ShinyHunters foram obtidos por esse método. Veja abaixo:

Fonte: Cyble

Como exemplo, “Sheep” faz referência a um post de abril da equipe de resposta e incidentes de segurança do GitHub, descrevendo a campanha de phishing “Sawfish”, direcionada aos usuários daquela empresa.

Essa campanha de phishing usou mensagens falsas, que diziam que algo suspeito poderia estar acontecendo com a conta de um usuário e apresentou um link para “verificar sua atividade”. Ao clicar no link, o usuário abria um site de phishing que imitava a página de login do GitHub e, ao digitar seus dados de acesso, todas as credenciais inseridas eram roubadas em tempo real, permitindo que o invasor entrasse em contas protegidas pela autenticação de dois fatores baseada em TOTP. Contas protegidas por chaves de segurança de hardware não são vulneráveis ​​a esse tipo de ataque.

A Waydev, baseada em São Francisco, havia alertado pela primeira vez em 2 de julho que seus serviços poderiam ter sido violados e os tokens do GitHub OAuth dos usuários foram obtidos. A Waydev diz que sua investigação sobre a violação constatou que, entre 10 de junho e 3 de julho, os invasores podem ter “clonado repositórios dos usuários que se conectaram via GitHub OAuth”.

Ainda não foi comprovada a forma de entrada e o caminho exato do vazamento dos dados do aplicativo da Dave, mas podemos citar os cuidados necessários e maneiras de evitar ou minimizar riscos de vazamentos com esse. Começando pelo treinamento a funcionários para entender os riscos do phishing, soluções de cofre de senha que monitoram contas privilegiadas (IBM Secret Server), Blindagem de apps (Arxan), Segurança App Mobile (Lookout), Segurança de APIs (ImVision) e ainda SIEM (IBM Qradar) e Segurança de Banco de Dados (IBM Guadium).

Se quiser saber mais sobre como cada solução ajuda sua empresa a evitar ataques ou minimizar, aumentando a segurança dos dados sensíveis, é só entrar em contato conosco.

Leia também no nosso blog:

Vulnerabilidades dos aplicativos móveis no setor financeiro

Temas a considerar sobre segurança de aplicativos em 2020