Embraer, empresa multinacional fabricante de aeronaves, confirmou nesta semana que sofreu um ataque hacker e dados foram vazados por não realizar o pagamento em criptomoedas.
Conforme reportou a Folha de São Paulo, a empresa foi invadida em 25 de novembro, os hackers exigiram o resgate em criptomoedas, contudo a Embraer não pagou e seus dados foram vazados.
Os hackers comandaram um ataque de ransomware e sequestraram os sistemas, ameaçando a Embraer.
As autoridades foram avisadas do ataque e a própria Embraer diz ter apurado “que certas informações foram divulgadas”.
“A companhia esclarece que recebeu pedido de negociação de potenciais pagamentos no contexto do ataque cibernético e que não iniciou qualquer processo de negociação, bem como não realizou quaisquer pagamentos a terceiros supostamente envolvidos em tal incidente”, declara a Embraer.
A empresa aérea afirma que as operações foram restabelecidas nos sistemas que saíram do ar desde o ataque.
Nesta semana, após a empresa se negar a negociar com os criminosos, uma série de arquivos atribuídos à companhia foram divulgados na deep web, seção oculta da internet que não é indexada em sites de busca, como o Google.
Foram divulgados quatro pastas com cerca de 200 documentos, com dados pessoais de funcionários, correspondências com detalhes da venda de aviões militares do modelo A-29 Super Tucano, e até informações como a lista dos que pagaram R$37,92 para participar do “churras dos parças”, um evento de confraternização de empregados.
Os documentos mais sensíveis vazados são os dados dos funcionários, contendo Nome, CPF, telefone, data de aniversário, etc. Além disso, há 22 PDFs detalhando o Programa Nigéria, um acordo comercial entre Embraer e o país africano pela compra de caças militares.
“[A Embraer] segue investigando as circunstâncias do ataque e a quantidade de informações exfiltradas ou divulgadas, avaliando a existência de impactos sobre seus negócios e terceiros, bem como determinando e tomando as medidas cabíveis”, declara a empresa em nota.
O vazamento desse tipo de dado pode ser acesso por terceiros e comercializado ilegalmente na internet. Criminosos também podem usar como engenharia social, para extorquir dinheiro das pessoas ou chantageá-las.
A Lei Geral de Proteção de Dados, em vigor desde setembro, determina que vazamentos sejam publicados por empresas em comunicados oficiais. Elas também devem notificar os titulares de dados cujas informações circularam na internet.
A Lei prevê que as empresas podem ser penalizadas com multas de até R$50 milhões, a depender do caso, por não protegerem adequadamente dados de seus funcionários e clientes.