Resposta da Checkout.com a ataque hacker: recusa do resgate e doação para pesquisa em segurança
(checkout.com)- A plataforma de pagamentos Checkout.com foi alvo de uma tentativa de extorsão por um grupo de cibercriminosos, mas se recusou a pagar o resgate e, em vez disso, doou o valor para pesquisa em cibersegurança
- Os invasores obtiveram acesso não autorizado a um sistema legado de armazenamento de arquivos em nuvem de terceiros, usado antes de 2020, e conseguiram obter alguns dados
- A Checkout.com afirmou explicitamente que a plataforma de processamento de pagamentos, os fundos dos comerciantes e os dados de cartão não foram afetados de forma alguma
- A empresa estima que menos de 25% de todos os comerciantes possam ter sido impactados e está cooperando com autoridades policiais e órgãos reguladores
- Foram feitas doações para a Carnegie Mellon University e o University of Oxford Cyber Security Center, reafirmando transparência e confiança como valores centrais do setor
Visão geral do incidente
- Na semana passada, a Checkout.com foi contatada por um grupo criminoso chamado “ShinyHunters”, que alegou ter obtido dados relacionados à Checkout.com e exigiu um resgate
- A investigação constatou que os atacantes obtiveram acesso não autorizado a um sistema terceirizado de armazenamento de arquivos em nuvem usado antes de 2020
- Esse sistema era usado para armazenar documentos operacionais internos e materiais de onboarding de comerciantes
- A Checkout.com reconheceu como um erro o fato de esse sistema não ter sido desativado adequadamente
- A empresa afirmou que o incidente não afetou a plataforma de processamento de pagamentos e que os invasores não conseguiram acessar fundos dos comerciantes nem números de cartão
Impacto e medidas de resposta
- A Checkout.com estima atualmente que menos de 25% dos comerciantes possam ter sido afetados
- A empresa está em processo de identificar os comerciantes impactados e contatá-los individualmente, além de cooperar com as autoridades policiais e os órgãos reguladores relevantes
- A Checkout.com enfatizou transparência e responsabilidade, expressando a intenção de manter a confiança de parceiros e clientes
Recusa do resgate e decisão de doar
- A Checkout.com declarou que não pagará resgate a criminosos
- Em vez disso, o valor exigido no ataque foi doado como apoio à pesquisa sobre cibercrime para a Carnegie Mellon University e o University of Oxford Cyber Security Center
- A empresa afirmou que transformará este incidente em uma oportunidade de ampliar os investimentos em segurança em todo o setor
Posição e compromisso da empresa
- A Checkout.com afirmou que “segurança, transparência e confiança são a base do setor” e disse que reconhece o erro e protegerá os comerciantes
- A empresa também destacou que investirá no combate a atividades criminosas que ameaçam a economia digital
- Comerciantes podem solicitar suporte por meio de seus canais habituais de contato com a Checkout
Conclusão
- Com este incidente, a Checkout.com demonstrou uma postura firme diante da extorsão cibernética e busca fortalecer a capacidade de defesa de todo o setor por meio de doações para pesquisa em segurança
- A empresa está focada em restaurar a confiança dos comerciantes por meio de divulgação transparente e medidas responsáveis
1 comentários
Opiniões no Hacker News
Alguns anos atrás, membros do ShinyHunters foram presos pelo FBI
Eu estive na mesma prisão que um deles, Sebastian Raoult, e conversei bastante com ele
A persistência que eles demonstravam em ataques de phishing em larga escala era impressionante. Foi assim que conseguiram a maior parte dos acessos; fora isso, procuravam endpoints de API no GitHub e vasculhavam em busca de chaves vazadas
Ele não gostava muito do scanner automático do GitHub
Artigo relacionado: comunicado do Departamento de Justiça dos EUA
Então não surpreende que eles tenham conseguido acesso por meio de engenharia social
O interessante é que eles próprios também podem ser vítimas de engenharia social. Pessoas que criam exploits para jogos online e atraem hackers jovens acabam montando uma estrutura para ganhar dinheiro de forma mais segura
Fico curioso se usavam hospedagem ilegal ou se foram rastreados por meio de um provedor de pagamentos
Também queria saber se o site, como o Sportsurge, só fornecia links ou se hospedava os streams de fato
Na nota de desculpas da empresa,
Mais importante do que o pedido de desculpas em si é a análise da causa raiz e as medidas para evitar reincidência.
Para recuperar a confiança, é preciso revelar quantos outros sistemas legados que lidavam com dados de clientes ainda existiam e quem barrou o orçamento
Um pedido de desculpas verdadeiro deve aparecer não em palavras, mas em compensação
Se eu fosse cliente, estaria irritado, mas acho que esta resposta foi a melhor possível dentro do cenário
responsabilidade legal, reembolsos e regulação mais rígida também precisam acompanhar isso
Seria bom divulgar também os resultados da auditoria e o post-mortem em nome da transparência
A doação parece mais uma ação de imagem do que uma melhoria real de segurança
Mais importante é seguir as práticas de segurança já conhecidas. Esse dinheiro deveria ter sido investido em contratar responsáveis por segurança ou fortalecer os sistemas
(Referência: o hack ocorreu em um sistema legado que não havia sido desativado)
Em vez de simples sinalização de virtude, isso soa como um sinal de que “não cedemos a exigências de resgate”
Se tivessem pago o resgate, provavelmente teriam incentivado ainda mais ataques
Mesmo perdendo dinheiro, faz sentido escolher um destino mais valioso para ele
Há o efeito colateral de financiar criminosos, mas, se não pagarem, os clientes também podem acabar sofrendo um prejuízo maior
A frase “o atacante obteve acesso por meio de um sistema de armazenamento em nuvem de terceiros” soa um pouco como tentativa de se esquivar da responsabilidade
Mesmo quando acontece um incidente desses, ele vira motivo de chacota por uma semana e acaba. No fim, quase não há mudança estrutural
Acho que esse tipo de resposta pública e doação foi uma decisão corajosa
Segurança perfeita é impossível, e ainda é difícil criticar com firmeza antes de sair o post-mortem
Valorizo o fato de terem divulgado sem esconder e a abordagem voltada ao interesse público por meio de doação à academia
Quando vejo a frase “sistema usado para documentos operacionais internos e materiais de onboarding de comerciantes”, imagino que provavelmente se trate de documentos coletados no processo de KYC
Ou seja, podem incluir documentos da empresa ou digitalizações de passaportes e documentos de identidade
Esse tipo de dado traz alto risco de roubo de identidade e pode continuar válido por anos
Desde o GDPR, esse tipo de dado sensível costuma ficar em uma zona de segurança separada
Provavelmente era apenas um repositório de PDFs ou formulários usado pela equipe de onboarding
Mesmo que “menos de 25% dos clientes tenham sido afetados”, se eu estivesse entre eles, seria difícil me satisfazer com um gesto sem compensação
“OXCIS” significa Oxford Centre for Islamic Studies, então provavelmente não é isso
A instituição que recebeu a doação parece ser o centro de pesquisa em Cyber Security da Universidade de Oxford
Pela minha experiência trabalhando no setor de fintech, o que vazou desta vez parece ter sido documentação KYB de comerciantes
Isso é material usado para avaliação de risco empresarial e não é tão sensível quanto informações de pagamento ou PAN
Claro que um hack é algo ruim, mas esse tipo de dado às vezes é informação pública
Valorizo o fato de a empresa ter feito uma divulgação transparente disso
Portanto, também existe risco de roubo de identidade voltado a pessoas de alta renda