Funcionários revelam que nomes de usuário e senhas foram roubados
O Aeroporto Internacional de São Francisco divulgou que hackers roubaram nomes de usuário e senhas de dois de seus sites em março.
De acordo com uma notificação recente, disponíveis em seus canais de comunicação, os sites invadidos foram o SFOConnect.com, que fornece atualizações sobre o aeroporto para passageiros e viajantes, e o Flysfo.com, que contém informações sobre projetos de reforma, construção e expansão do aeroporto.
Até segunda-feira (13/04), o site SFOConnect já estava funcionando normalmente, fornecendo informações sobre serviços de passageiros, de voo e os efeitos da pandemia do COVID-19 no aeroporto. O site SFOConstruction, contudo, ainda está fora do ar, redirecionando apenas para a página de notificação da violação.
Embora a notificação ressalte que o incidente ocorreu em março e que as autoridades aeroportuárias ainda estão investigando, ainda não foi não divulgado quantas senhas e nomes de usuários podem ter sido comprometidos e se a violação afetou passageiros, funcionários do aeroporto ou ambos.
O Aeroporto Internacional de São Francisco é considerado o sétimo aeroporto mais movimentado dos EUA e seu site diz que ele normalmente recebe cerca de 58 milhões de passageiros por ano. Pertence e é operado pela cidade de San Francisco, quarta cidade mais populosa do estado da Califórnia.
Como aconteceu o ciberataque ao aeroporto de San Francisco
Segundo a notificação de violação, os hackers inseriram códigos maliciosos nos dois sites para roubar as credenciais de login dos usuários. A notificação não esclarece se o ataque começou com um email de phishing ou uma exploração de uma vulnerabilidade.
“Os usuários possivelmente afetados por esse ataque incluem aqueles que acessam esses sites de fora da rede do aeroporto pelo Internet Explorer em um dispositivo pessoal baseado no Windows ou em um dispositivo não mantido pelo Aeroporto Internacional de São Francisco”, diz a nota de esclarecimento.
Depois que o hacking foi identificado, os dois sites foram tirados do ar e o código malicioso foi removido, de acordo com a notificação. As autoridades do aeroporto forçaram a redefinição de todas as senhas de e-mail e de rede no dia 23 de março.
Agora, elas pedem que qualquer pessoa que tenha visitado ou que tenha configurado uma conta esses dois sites para redefinir suas senhas e nomes de usuários urgentemente, especialmente se eles usarem um dispositivo cujo sistema operacional é o Windows.
“Embora não esteja claro qual foi a motivação por trás desse ataque, os dois sites parecem confiar na autenticação de login único, o que os tornou mais suscetíveis a esse tipo de hacking”, diz Fausto Oliveira, principal arquiteto de segurança da empresa especializada em cibersegurança Acceptto.
“O site SFOConstruction.com exige [para login] um código de registro publicado no próprio site, o que dificilmente é uma medida eficaz para impedir a aquisição de contas no primeiro uso e que pode ser facilmente explorado por hackers que usam ataques de engenharia social mais simples”, diz Oliveira à Information Grupo de mídia de segurança.
“Da mesma forma, o SFOConnect.com revela dados que ajudam a entender a composição das informações hospedadas, e há um site do SharePoint que contém informações de comissões de aeroportos. Esse tipo de dados nunca deve ser exposto a usuários não autenticados”.
Oliveira diz que mesmo um processo simples de autenticação de dois fatores pode ter impedido a exposição de alguns dados.
Não é a primeira vez que aeroportos são alvos de ciberataques
Em outro incidente recente envolvendo hackers e vazamento de dados de aeroportos, autoridades do Aeroporto Internacional de Albany (Nova York) divulgaram em janeiro que tiveram que pagar uma gangue de cibercriminosos depois que os sistemas da instalação foram atingidos pelo ransomware Sodiniokibi no Natal, a fim de que suas atividades fossem normalizadas. O incidente permanece sob investigação do FBI e do Cyber Command do Estado de Nova York.
Em 2015, na Polônia, ataques de hackers chegaram a resultar em cancelamentos e atrasos no aeroporto de Chopin, na Varsóvia, depois que um ataque cibernético afetou os sistemas da companhia aérea polonesa Lot, impedindo os computadores de criarem planos de voo.
Em 2017, na Ucrânia, ataques cibernéticos atingiram o aeroporto ucraniano de Odessa e o sistema de metrô em Kiev. Não se sabe ao certo os motivos, mas o aeroporto de Odessa informou que intensificou as medidas de segurança, enquanto o metrô de Kiev reportou um ataque ao seu sistema de pagamento.
Já em 2018, em Atlanta, o Aeroporto Internacional Hartsfield-Jackson foi forçado a desligar sua rede de Wi-Fi interna como medida de segurança, depois que a rede do governo da cidade de Atlanta sofreu um ataque de ransomware.
Nesse caso, o problema foi mais grave: os arquivos presentes na rede foram criptografados e mantidos como “reféns” em vários dos computadores oficiais. O aeroporto de Atlanta desativou o serviço Wi-Fi para evitar que qualquer ransomware malicioso se espalhasse pelos computadores das autoridades aeroportuárias, das companhias aéreas e, possivelmente, dos clientes.
No Brasil, em 2019, um hacker identificou uma brecha de segurança em um aplicativo da LATAM que permitiria usuários mal intencionados acessarem notebooks e celulares de clientes da companhia aérea, através da transferência de malware por um procedimento de phishing interno.
A principal preocupação era que a vulnerabilidade detectada também permitiria que o hacker gerasse um falso formulário de compra para roubar informações mais sensíveis, como nome completo e dados de cartão de crédito — o que abriria margem para uma série de fraudes e golpes de falsificação ideológica. Em nota emitida pela LATAM, a companhia alegou que testes e correções foram encaminhados imediatamente após a notificação.
Ataques a aeroportos ou em sistemas de companhias aéreas não são incomuns. Isso porque estamos lidando com locais que combinam total dependência de soluções tecnológicas com uso de informações sensíveis sobre funcionários e passageiros.
O investimento em segurança deve cobrir todas as possíveis frentes de ataque e ir além do básico; é preciso presumir que estamos sempre sob risco de sofrer um ataque cibernético e cuidar tanto de nossos sistemas quanto de nossas atitudes como usuários.
Nas redes da Compugraf estamos compartilhando conteúdos riquíssimos para garantir prevenção de ataques. Não deixe de dar uma olhada e compartilhar com seu time!
