Hacker ameaça vazar dados pessoais da prefeitura de Saquarema (RJ)

Grupo responsável pelo ransomware Avaddon ameaça divulgar dados pessoais de funcionários como CPF, endereço e tipo sanguíneo

Felipe Ventura
Por
• Atualizado há 6 meses
Ilustração de segurança em computador (imagem: Flickr/Visual Content)
Notebook (Imagem: Flickr/Visual Content)

Ataques de hackers vêm dando dores de cabeça ao redor do mundo, e nem mesmo a pequena cidade de Saquarema (RJ), com cerca de 90 mil habitantes, foi poupada disso. Um grupo de invasores ameaça divulgar arquivos obtidos do sistema municipal, incluindo dados pessoais de funcionários como CPF, endereço, telefone, PIS/PASEP e até tipo sanguíneo.

O que tem no vazamento de Saquarema?

Os invasores alegam ter acessado os servidores da prefeitura em 16 de fevereiro de 2021, extraindo um total de 35 GB. “Isso inclui informações pessoais, documentos financeiros e fiscais”, afirma ao Tecnoblog o grupo responsável pelo ransomware Avaddon.

Em 25 de fevereiro, eles deram um prazo de dez dias para que a prefeitura de Saquarema respondesse, o que aparentemente ainda não aconteceu – a página com a ameaça de vazamento ainda segue no ar nesta quinta-feira (4). O grupo está cobrando uma quantia em dinheiro para não expor os dados, sem revelar publicamente o valor.

Avaddon cobra para não vazar mais dados (Imagem: Reprodução)
Avaddon cobra para não vazar mais dados (Imagem: Reprodução)

“Damos 240 horas para nos contatar e cooperar conosco; se não fizerem isso antes desse prazo, pretendemos vazar todos os seus documentos e arquivos importantes, incluindo documentos financeiros, fiscais e de funcionários”, diz o aviso publicado no site do Avaddon na dark web.

Os hackers colocam uma amostra gratuita nesse site, que inclui contratos, decisões administrativas, boletos e planilhas de gastos. A parte mais preocupante é a ficha cadastral de um funcionário, que traz uma série de dados pessoais: nome completo, data de nascimento, CPF, RG, endereço, telefone, PIS/PASEP, título de eleitor, cargo, lotação e tipo sanguíneo.

Trecho de documento vazado com dados de funcionário (Imagem: Reprodução)
Trecho de documento vazado com dados de funcionário (Imagem: Reprodução)

A prefeitura de Saquarema tem um portal de transparência que conta com alguns dados presentes no vazamento – a discriminação de gastos municipais, por exemplo – porém em uma formatação diferente e com menos detalhes. Há uma área com o quadro de pessoal, mas ela está atualmente fora do ar; mesmo se funcionasse, ela certamente não poderia revelar tantas informações dos funcionários assim.

Em comunicado ao Tecnoblog, a prefeitura de Saquarema afirma que “adotou as medidas necessárias para a segurança e proteção do sistema informatizado e dos dados nele contidos”. Ela também diz que “o fato foi objeto de registro policial e as investigações estão a cargo da autoridade policial competente”.

Esse posicionamento veio pelo Messenger, através da conta oficial da prefeitura no Facebook. Nos últimos sete dias, também tentamos entrar em contato de outras formas, sem sucesso: ninguém atendeu o telefone, e os e-mails que enviamos voltaram porque a caixa de entrada está cheia. Também mandamos uma mensagem para um funcionário da Secretaria de Comunicação Social via LinkedIn, mas não obtivemos resposta. (O site do Avaddon, por sua vez, tem um formulário de contato e nos respondeu em algumas horas.)

Vazamento inclui detalhes sobre gastos públicos em formato diferente do portal de transparência (Imagem: Reprodução)
Vazamento inclui detalhes sobre gastos públicos em formato diferente do portal de transparência (Imagem: Reprodução)

LGPD também vale para órgãos públicos

A LGPD (Lei Geral de Proteção de Dados Pessoais) estabelece, em um de seus primeiros artigos, que pode ser aplicada “a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado”. Ou seja, órgãos do governo também estão sujeitos a sanções em caso de exposição de informações pessoais.

Cabe à ANPD (Autoridade Nacional de Proteção de Dados) analisar esse tipo de incidente e decidir pela punição: entidades públicas ficam sujeitas a advertências e sanções administrativas, enquanto empresas também podem ser multadas em até 2% sobre o faturamento anual, limitado a R$ 50 milhões. Essas punições só poderão ser aplicadas a partir de agosto de 2021.

Ransomware virou negócio bilionário

O Avaddon é um ransomware, ou seja, um programa malicioso que criptografa todos os arquivos de um PC invadido e cobra um resgate para devolver acesso aos arquivos. Desde o ano passado, ele começou adotar a tática da extorsão dupla: se a pessoa não quiser os arquivos de volta – por ter um backup – eles ameaçam vazar tudo na internet, a menos que você faça um pagamento (geralmente em bitcoin).

O ransomware se tornou uma empreitada multibilionária, segundo um relatório da empresa de segurança Group-IB: ela detectou mais de 500 ataques desse tipo só em 2020, com valor médio de US$ 170 mil obtido por extorsão. O Avaddon é apenas um de vários tipos: há também o Maze, Egregor, Conti, entre outros.

Atualizado às 16h20 com posicionamento da prefeitura

Receba mais sobre Saquarema na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Relacionados

Prefeitura do RJ quer acabar com fios de operadora pendurados em postes
Prefeitura do RJ quer acabar com fios de operadora pendurados em postes
Rio recupera site, mas sistemas continuam fora do ar após ataque hacker
Rio recupera site, mas sistemas continuam fora do ar após ataque hacker
Transporte público no Rio terá pagamento via Pix com novo bilhete digital
Transporte público no Rio terá pagamento via Pix com novo bilhete digital
O que é um hacker?
O que é um hacker?
Prefeitura do Rio aluga 200 PCs para atendimento do CadÚnico após ataque
Prefeitura do Rio aluga 200 PCs para atendimento do CadÚnico após ataque
Prefeitura do Rio de Janeiro lança página com dados abertos sobre a cidade
Prefeitura do Rio de Janeiro lança página com dados abertos sobre a cidade
Exclusivo: megavazamento de CPFs segue à venda e rende até US$ 5 milhões para hacker
Exclusivo: megavazamento de CPFs segue à venda e rende até US$ 5 milhões para hacker
Como um cabo Lightning pode permitir ataques [O.MG Cable]
Como um cabo Lightning pode permitir ataques [O.MG Cable]
Rival do iFood, app de entrega sem taxas é lançado pela prefeitura do Rio
Rival do iFood, app de entrega sem taxas é lançado pela prefeitura do Rio
O que é spoofing?
O que é spoofing?