O site TecMundo recebeu os documentos na terça-feira (29) por uma fonte anônima. São cerca de 40 mil arquivos em uma pasta de 500 MB. Por lá, é possível encontrar incidentes de segurança que aconteceram entre 2017 e 2019 em áreas da Vale no Brasil, Canadá, Moçambique, Nova Caledônia e Indonésia.
“Um dos documentos relata assalto a mão armada em um duto, e não houve registro de ocorrência policial posterior”, afirmou a fonte no e-mail em que enviou os documentos. O TecMundo encontrou o documento citado em específico, mas não a questão da ocorrência policial citada.
Os hackers não detalharam como a companhia foi invadida, apenas notaram que os documentos foram extraídos por meio de uma brecha na URL oculta que estava aberta ao público — “Indexação de documentos secretos em um subdomínio oculto, por meio de motores de busca”, notaram.
Os hackers também enviaram uma nota ao TecMundo sobre os motivos da invasão.:
"Quanto vale uma vida? Para a Vale do Rio Doce uma vida é apenas um número, uma cifra, um ponto estatístico, um risco mensurável na reputação da marca. Achamos que teriam aprendido com experiências passadas, mas é simplesmente impossível que percebam valor de uma vida, se eu mato 65 pessoas sou retirado de circulação, se uma empresa do tamanho dela mata, recebem uma multa e continuam operando normalmente. Uma multa! Não é a toa que assim a vida também tenha um preço. Eu e você todos temos um preço nessa tabela, é questão de tempo para sermos os próximos, assim que isso for rentável. Não iremos ficar quietos, lutaremos contra a estupidez com a informação. Quanto vale a vida? A vida vale mais do que a vale".
Relatório "Aprendendo com o incidente"
Posicionamento da Vale
Posicionamento da Vale
A Vale disse em posicionamento ao TecMundo que "não houve falha técnica no site Sharepoint ou invasão de seu ambiente de TI" e que "as informações contidas nos documentos são registros e tratativas dos incidentes e quase acidentes de segurança. Esse registro é obrigatório na Vale e faz parte do nosso sistema de Gestão de Saúde e Segurança e Meio Ambiente".
A empresa também disse que "os arquivos de uso interno que foram atribuídos a um vazamento, na verdade, estavam disponíveis em área pública do nosso site vale.com".
O local no site em que os 40 mil arquivos poderiam ser baixados não foi indicado. Além disso, os documentos possuem o aviso mostrado abaixo — documentos estes que, caso estiverem públicos, exibem dados pessoais de funcionários (nome completo, email, cargo na empresa, local de trabalho), o que abre portas para ataques cibercriminosos como o spear phishing e até tentativas de credential stuffing.
''Somente para comunicação interna''
A empresa também disse que "os arquivos de uso interno que foram atribuídos a um vazamento, na verdade, estavam disponíveis em área pública do nosso site vale.com".
O local no site em que os 40 mil arquivos poderiam ser baixados não foi indicado. Além disso, os documentos possuem o aviso mostrado abaixo — documentos estes que, caso estiverem públicos, exibem dados pessoais de funcionários (nome completo, email, cargo na empresa, local de trabalho), o que abre portas para ataques cibercriminosos como o spear phishing e até tentativas de credential stuffing.
''Somente para comunicação interna''
Atas
Nas atas de incidente de segurança, a Vale faz as seguintes separações: “Acidente Pessoal”, “Acidente Material”, “Acidente Ambiental” e “Quase Acidente”. Além disso, existem classificações entre “Severidade” do acidente que ainda envolvem “Real” e “Potencial”. No documento que você vê abaixo, um “Quase Acidente” em Mato Grosso do Sul não teve consequência, mas poderia ser “Catastrófico”.
Documento interno da Vale
Na ata abaixo, é possível notar um vazamento de 500 litros de óleo que poderia ser "Catastrófico", mas foi "Crítico". O problema aconteceu no Rio de Janeiro:
Vazamento de óleo
Documento interno
Relatório de acidente fatal
Nas atas de incidente de segurança, a Vale faz as seguintes separações: “Acidente Pessoal”, “Acidente Material”, “Acidente Ambiental” e “Quase Acidente”. Além disso, existem classificações entre “Severidade” do acidente que ainda envolvem “Real” e “Potencial”. No documento que você vê abaixo, um “Quase Acidente” em Mato Grosso do Sul não teve consequência, mas poderia ser “Catastrófico”.
Documento interno da Vale
Na ata abaixo, é possível notar um vazamento de 500 litros de óleo que poderia ser "Catastrófico", mas foi "Crítico". O problema aconteceu no Rio de Janeiro:
Vazamento de óleo
Vale no holofote
A Vale está nos holofotes por um crime ambiental: o rompimento da barragem de Brumadinho, Minas Gerais, que aconteceu na última sexta-feira (25). Rompeu-se uma barragem de rejeitos de mineração construída no ribeirão Ferro-Carvão, no Córrego do Feijão, que até o momento deixou mais de 84 corpos e 276 pessoas desaparecidas. Após o acidente, na noite da última quarta-feira (30), a Vale afirmou que irá desativar todas as barragens similares que existem no Brasil.
A Vale está nos holofotes por um crime ambiental: o rompimento da barragem de Brumadinho, Minas Gerais, que aconteceu na última sexta-feira (25). Rompeu-se uma barragem de rejeitos de mineração construída no ribeirão Ferro-Carvão, no Córrego do Feijão, que até o momento deixou mais de 84 corpos e 276 pessoas desaparecidas. Após o acidente, na noite da última quarta-feira (30), a Vale afirmou que irá desativar todas as barragens similares que existem no Brasil.
Documento interno
Alertas de acidentes críticos ou catastróficos
Documentos
Acidente fatal
Relatório de acidente fatal
Pontos de alerta
Nenhum comentário:
Postar um comentário