ShinyHunters Informou a Odido Sobre Sua Própria Violação de 6,5 Milhões de Clientes

O Que a Violação da Odido Expôs e Quem É Afetado

A violação de dados da Odido é uma das histórias mais desconcertantes a surgir do setor de telecomunicações europeu este ano. A Odido, terceira maior operadora móvel dos Países Baixos, teve os dados de 6,5 milhões de clientes roubados em fevereiro. Dados de contacto, datas de nascimento, números de identificação de clientes e outras informações pessoais foram capturados no ataque. O que torna este incidente particularmente chocante não é apenas a escala. É o facto de a própria equipa de segurança da Odido não o ter detetado de forma alguma.

A empresa confirmou que só tomou conhecimento da violação depois de o grupo de hackers ShinyHunters ter entrado em contacto diretamente. O ShinyHunters, um prolífico grupo de cibercriminosos conhecido pelo roubo massivo de dados, notificou efetivamente a vítima. O CEO da Odido reconheceu publicamente que foram cometidos erros. Palavras-passe, dados de faturação, registos de chamadas e dados de localização foram alegadamente excluídos do conjunto de dados roubados, mas essa garantia limitada não altera o problema central: milhões de pessoas tiveram os seus dados de telecomunicações expostos sem que a empresa soubesse.

Como a Deteção Interna da Odido Falhou Durante Meses

Esta é a parte da história da violação de dados da Odido que a maioria das coberturas mediáticas ignora. O ataque ocorreu em fevereiro. A empresa realizou uma investigação interna. Essa investigação não encontrou nada. Foi necessário que os próprios atacantes fechassem o ciclo.

Este tipo de falha de deteção não é exclusivo da Odido. As empresas de telecomunicações gerem sistemas de CRM vastos com milhões de registos, e técnicas de intrusão sofisticadas podem deixar vestígios mínimos se o atacante for cuidadoso. Mas a falha aponta para uma lacuna sistémica: a monitorização interna aparentemente não foi suficiente para detetar a exfiltração de dados em tempo real. Quando a Odido confirmou o que tinha acontecido, os dados já estavam nas mãos de um grupo com um historial de venda de registos roubados em mercados da dark web.

Para contextualizar o padrão mais amplo do ShinyHunters, o grupo foi associado a múltiplas violações em larga escala em que as empresas foram igualmente lentas a reagir ou desconheciam o sucedido. O seu ataque ao Canvas no início deste ano seguiu um guião comparável: exfiltrar dados, tornar a violação pública ou através da vítima, e aplicar pressão. O incidente da Odido encaixa-se nesse modelo de forma quase perfeita.

Por Que as Violações de Telecomunicações São Especialmente Perigosas para a Privacidade

Nem todas as violações de dados acarretam o mesmo risco subsequente. Os dados de telecomunicações situam-se numa interseção especialmente perigosa porque ligam a sua identidade real ao seu número de telefone, e essa combinação desbloqueia um conjunto específico de ataques.

A fraude de troca de SIM é a preocupação mais imediata. Quando um atacante tem o seu nome, número de telefone e dados da conta, pode contactar a sua operadora a fazer-se passar por si e solicitar a transferência do SIM para um dispositivo que controla. Assim que tiver o seu número, pode intercetar códigos de autenticação de dois fatores enviados por SMS e aceder a contas bancárias, e-mail e carteiras de criptomoedas. Este não é um risco teórico. É um dos principais métodos de monetização de registos de telecomunicações roubados.

Além das trocas de SIM, os metadados de telecomunicações permitem phishing altamente direcionado. Um atacante que conhece o seu nome, número de telemóvel e que é cliente de uma operadora específica pode criar mensagens convincentes a fazer-se passar pela equipa de suporte dessa operadora. Não se trata de mensagens de spam genéricas. São ataques de engenharia social construídos a partir de dados reais, o que os torna significativamente mais difíceis de identificar.

Isto faz parte de um padrão mais amplo visível em violações por toda a Europa. A fuga de dados de um fornecedor de e-mail francês que expôs 40 milhões de registos e a exposição de 18 milhões de registos de identidade franceses por um hacker adolescente mostraram ambos como a agregação de dados pessoais acelera o risco para os indivíduos, mesmo quando nenhuma informação isolada parece catastrófica por si só. Os dados de telecomunicações são particularmente valiosos porque ancoram toda essa informação agregada a um canal de comunicação acessível e em tempo real.

Proteções em Camadas que os Utilizadores de VPN Devem Adicionar Após Fugas de Dados de Telecomunicações

Se é cliente da Odido, ou simplesmente alguém a refletir sobre o que esta violação significa para pessoas como você, existem medidas concretas que vale a pena tomar agora.

Em primeiro lugar, contacte a sua operadora móvel e solicite a adição de um bloqueio de SIM ou congelamento de portabilidade à sua conta. Isto dificulta significativamente que um atacante transfira o seu número sem verificação presencial. Muitas operadoras oferecem este serviço e não o divulgam de forma proeminente.

Em segundo lugar, abandone a autenticação de dois fatores baseada em SMS sempre que possível. Utilize antes uma aplicação de autenticação. Se o seu número de telefone for comprometido numa troca de SIM, os códigos por SMS tornam-se uma vulnerabilidade em vez de uma proteção.

Em terceiro lugar, faça uma auditoria de onde o seu número de telefone é usado como método de recuperação. Contas de e-mail, aplicações bancárias e plataformas de redes sociais que utilizam o seu número de telemóvel para recuperação de conta são todos alvos potenciais se os seus dados de telecomunicações tiverem sido expostos.

Em quarto lugar, considere uma VPN com proteção contra fugas de DNS para o seu dispositivo móvel. Uma VPN não impede uma troca de SIM, mas acrescenta uma camada de proteção para o tráfego de navegação e aplicações no seu dispositivo, particularmente em redes públicas onde um atacante pode tentar intercetar tráfego após um comprometimento de SIM.

Por fim, utilize um serviço de monitorização de violações para acompanhar se o seu endereço de e-mail ou número de telefone aparece em conjuntos de dados recentemente divulgados. O Have I Been Pwned já tem a violação da Odido indexada.

O Que Isto Significa Para Si

A violação de dados da Odido é um lembrete de que as empresas que detêm os seus dados podem não saber que foram roubados até alguém lhes dizer. As falhas de deteção acontecem, e quando acontecem, o intervalo entre o roubo e a sua tomada de conhecimento pode ser de vários meses. Durante esse período, os seus dados podem ser comprados, vendidos e utilizados.

Aproveite isto como um incentivo para auditar a segurança da sua conta de telecomunicações e reduzir a sua dependência de autenticação baseada em número de telefone nas suas contas mais sensíveis. O incidente da Odido também merece ser analisado em conjunto com a atividade mais ampla do ShinyHunters. Compreender o padrão do grupo de atacar grandes plataformas voltadas para o consumidor ajuda a explicar por que nenhuma empresa ou setor pode ser considerado seguro por princípio. Comece pelo seu número de telefone. Essa é a chave que desbloqueia mais do que a maioria das pessoas percebe.