A prisão de sete pessoas em Londres na semana passada parecia ser o “início do fim” do Lapsus$. Mero engano. Os hackers do grupo fizeram mais uma vítima: a Globant, empresa de TI com mais de 23 mil funcionários, teve 70 GB de dados vazados nesta semana. Há sinais de que esse volume inclui informações de vários clientes da companhia.
O Lapsus$ tem o hábito de divulgar vazamentos em seu canal do Telegram. Com o caso da Globant não foi diferente. Por lá, o grupo compartilhou uma captura de tela que mostra pastas com nomes associados a organizações como Facebook, DHL, Fortune, Citibank e vários outras. A maioria, se não todas, corresponde a clientes da companhia.
Também via Telegram, os invasores publicaram um torrent para um arquivo com mais de 70 GB de tamanho que contém as tais pastas. Uma análise feita pela SOS Intelligence, provedora de inteligência contra ameaças digitais, mostra que o arquivo contém códigos-fonte e “informações muito confidenciais”, como chaves de APIs e até um conjunto com cerca de 7 mil currículos.
Uma lista de logins para acesso com privilégios de administrador a determinados sistemas da Globant também foi compartilhada pelos hackers no Telegram.
A SOS Intelligence aponta ainda que o vazamento é legítimo, ou seja, os dados foram realmente extraídos dos servidores da Globant. A empresa não negou: “nós detectamos recentemente que uma seção limitada do repositório de códigos da nossa companhia esteve sujeita a acesso não autorizado”.
Como a Globant é uma companhia que desenvolve sistemas para organizações de várias partes do mundo, o vazamento dos dados pode representar um problema de segurança para muitas delas.
Até o momento, não há detalhes sobre como a invasão aconteceu, mas uma investigação da Microsoft aponta que o Lapsus$ costuma usar táticas de engenharia social para fazer vítimas, ainda que não descarte outras abordagens — ironicamente, a Microsoft também foi alvo do grupo.
O Lapsus$ iniciou a sua atuação no final de 2021 e vem chamando a atenção por colecionar grandes vítimas. Além da Microsoft e, agora, a Globant, o grupo já invadiu sistemas da Nvidia, Samsung e, no Brasil, Ministério da Saúde, ação que deixou a ferramenta ConecteSUS inacessível por quase duas semanas.
É claro que o grupo passou a ser investigado. Na semana passada, a polícia de Londres prendeu sete pessoas com idades entre 16 e 21 anos que teriam ligações com crimes na internet. As autoridades não deram detalhes, mas há uma forte suspeita de que essas prisões têm relação com as investigações sobre o Lapsus$.
Um adolescente de 16 anos foi acusado de ser um dos líderes do grupo, mas não está claro se ele estava entre as pessoas detidas pela polícia de Londres.
Coincidência ou não, na época, o Lapsus$ anunciou no Telegram que alguns de seus membros iriam “tirar férias” até 30 de março. O retorno foi antecipado para o dia 29. Nesse dia, ao divulgar a captura de tela com as pastas da Globant, o grupo também comentou: “nós estamos oficialmente de volta das férias”.
Com informações: Ars Technica, BleepingComputer.
