Um grupo hacker afirmou ter hackeado um serviço de blockchain ligado ao Banco Central. Esse serviço, fornecido por uma empresa nacional, supostamente sofreu um vazamento de dados. Conforme publicado, 1,8 terabytes foram roubados e liberados na internet.
O Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPQD) é a fornecedora desses serviços ao BCB. Em março deste ano a organização divulgou o lançamento de sua solução blockchain, com o nome CPQD iD.
Essa é uma das nove soluções escolhidas pelo Banco Central para desenvolver o Real Digital. Sendo desenvolvido pelo Mercado Bitcoin e utilizado pela Bitrust e Clear Sale na edição do LIFT.
Não está claro se a base para o Real Digital fez parte do possível ataque cibernético. O Banco Central do Brasil afirma não ter tido quaisquer dados vazados.
Blockchain ligado ao BC do Brasil, hackers reivindicam ataque
O grupo ransomware LV tem chamado a atenção por circular em sistemas empresariais e governamentais, atuando de maneira similar ao REvil. Ambos têm causado danos nesses setores, utilizando ransomwares e malwares que roubam dados e congelam sistemas.
Em um de seus blogs anônimos, o grupo LV publicou a invasão de um serviço de blockchain do BC do Brasil, roubando 1,8 TB de dados. A empresa DataMinr divulgou esse alerta, que também foi compartilhado pelo jornalista Renan Brites em seu Twitter.
“Serviço blockchain do Banco Central do Brasil impactado pelo grupo LV ransomware, com 1,8 TB de dados vazados, incluindo servidores blockchain.”
DATAMINR: Brazilian Central Bank blockchain service impacted by LV ransomware group, with 1.8TB of data leaked including blockchain servers.
Alert delivered on Mon May 02 2022@Dataminr https://t.co/WAmm6ASQQN pic.twitter.com/I7wKFUJjlm
— Renan Brites Peixoto (@RenanPeixoto_) May 2, 2022
Falta de proteção de dados de usuários é a acusação do grupo
O grupo acusa a CPQD de não proteger dados dos usuários ou de funcionários da empresa. Em sua divulgação falando dos dados, o LV diz que ao invés de proteger os clientes, ela prefere vender seus dados.
Violações cibernéticas a sistemas ligados ao Banco Central podem ter graves repercussões, gerando investigações pela Polícia Federal e outros agentes da segurança nacional. A CPQD também é parceira de fomento à inovação do BNDES, EMBRAPII, Finep e FUNTTELL.
Os sistemas blockchain costumam ser descentralizados, como o bitcoin. Soluções privadas e sob medida, como no caso da CPQD, buscam a dirimir os problemas das empresas, de forma semelhante a um banco de dados distribuído.
O que diz o Banco Central?
A CPQD nega qualquer tipo de ataque ou vazamento de dados de usuários. E afirma que não ocorreu qualquer falha de segurança detectada.
“A segurança da informação e a proteção dos dados pessoais são requisitos que sempre receberam atenção especial no CPQD. As soluções de identidade digital descentralizada baseadas em blockchain desenvolvidas pela organização, por exemplo, colocam o controle dos dados pessoais nas mãos dos próprios usuários, justamente para evitar situações de vazamento ou o acesso a informações sensíveis por pessoas não autorizadas.
Além disso, nenhuma solução blockchain desenvolvida pelo CPQD, envolvendo informações sensíveis de pessoas ou empresas, está em uso atualmente pelo Banco Central do Brasil. Esclarecemos, ainda, que os repositórios divulgados como desprotegidos referem-se a testes realizados internamente visando a garantia de qualidade de soluções blockchain desenvolvidas, sem nenhum dado pessoal ou informação sensível.
Todos os protocolos de segurança mantidos pelo CPQD já foram acionados e medidas foram tomadas para apurar o incidente e evitar qualquer transtorno às operações de clientes e parceiros. Segurança da informação é nossa prioridade!”
O Banco Central do Brasil também segue a mesma linha, afirmando que não houve vazamento de dados.
“Não houve qualquer vazamento de dados do BC. O CPQD não tem acesso a dados internos do BC.”