Construtora Andrade Gutierrez sofre mega vazamento de dados

Reportagem publicada inicialmente na The Brazilian Report em Inglês.

A Andrade Gutierrez, conglomerado brasileiro de construção que atua em 11 países, sofreu uma grande violação de seus sistemas de segurança.

Relacionadas

A crise de semicondutores poderia ter custado a democracia brasileira

CPF no caixa: farmácias terão que explicar como usam dado de clientes

Tenho direito aos R$ 500 do Facebook por vazar dados de 8 mi no Brasil?

Membros de um grupo de hackers que se autointitula "Dark Angels" roubaram aproximadamente 3 terabytes de e-mails e informações privadas da companhia, incluindo:

• nomes,
• endereços de e-mail,
• passaportes,
• dados de pagamento,
• números de RG e CPF,
• e detalhes de seguro-saúde de mais de 10,6 mil funcionários atuais ou que já trabalharam na empresa.

Os nomes, cargos, datas e outros detalhes contidos no vazamento correspondem a informações públicas verificadas pela reportagem.

Os hackers também obtiveram plantas arquitetônicas e projetos de engenharia em 3D da Andrade Gutierrez, incluindo portos e aeroportos, empreendimentos de saúde e mobilidade urbana, e também obras para a Copa do Mundo de 2014 e as Olimpíadas de 2016, como o estádio Beira-Rio em Porto Alegre e o Parque Olímpico no Rio de Janeiro.

Vários e-mails obtidos pelos hackers expuseram dados privados de funcionários e outras empresas - o que inclui logins e senhas para acessar o perfil oficial da Andrade Gutierrez nos portais de prefeituras e autoridades fiscais. A posse destes dados pode permitir o acesso a todos os tipos de documentos fiscais da empresa.

Uma fonte deu ao The Brazilian Report o acesso a uma amostra de 15 gigabytes que foi disponibilizada para download em um grupo no Telegram. De acordo com os hackers, o grupo tentou informar a Andrade Gutierrez da vulnerabilidade em seus servidores antes de publicar parte dos dados.

O vazamento ocorreu entre setembro e outubro de 2022, período no qual a Andrade Gutierrez entrou com um pedido de recuperação judicial, após acumular uma dívida de US$ 440 milhões.

O nome Andrade Gutierrez entrou no léxico popular brasileiro em 2015, quando executivos da companhia foram presos durante a Operação Lava Jato. Posteriormente, a empresa assinou um acordo de leniência, prometendo devolver R$ 1,5 bilhão aos cofres públicos, como contrapartida por práticas corruptas em obras para o governo federal.

Os hackers não deram detalhes específicos sobre como ou quando eles invadiram os sistemas da empresa para não serem identificados, mas disseram que a Andrade Gutierrez ignorou as tentativas de comunicação e que a vulnerabilidade do sistema da qual eles se aproveitaram permaneceria.

As mensagens

Dark Angels: Olá, o vazamento é muito grande. mais de 3 TB de informação. nós fizemos um pacote de prova de cerca de 10 GB para você fazer o download. Vamos te enviar o link para o download na terça-feira.

Amanda Audi: Qual vulnerabilidade permitiu que vocês entrassem no sistema?

Dark Angels: Infelizmente, as vulnerabilidades não são divulgadas.

Amanda Audi: E eles ainda estão enfrentando a mesma vulnerabilidade?

Dark Angels: SIM, eles ainda estão enfrentando a mesma vulnerabilidade!

"O time de Tecnologia da Informação deles aparentemente é tão negligente que é improvável que eles vão fechar as vulnerabilidades no futuro próximo", um membro do Dark Angels disse ao The Brazilian Report em uma troca de mensagens pelo Telegram. A pessoa também disse que a empresa tentou deletar os arquivos comprometidos depois de serem avisados sobre o vazamento - mas os hackers já os haviam copiado.

O vazamento de dados tem muitas implicações. A primeira é que é uma falha que pode resultar em milhões de reais em multas pela Lei Geral de Proteção de Dados (LGPD), que começou a valer em 2020. Alain Juillet, ex-diretor da agência de inteligência francesa, cita outros riscos.

De uma perspectiva empresarial, [o vazamento] expõe a companhia a concorrentes maliciosos que podem querer copiar designs e técnicas em outros mercados, como a África e a Ásia. Mas o maior risco é para a segurança pública. Um grupo terrorista com acesso a essas informações teria grandes oportunidades de causar danos"
Alain Juillet

The Brazilian Report decidiu não publicar documentos que possam eventualmente gerar riscos de segurança ou expor dados sensíveis.

De acordo com a LGPD, em vigor desde setembro de 2020, empresas que sofrem vazamentos de dados devem notificar a Agência Nacional de Proteção de Dados (ANPD) e todas as pessoas e empresas cujos dados foram comprometidos.

A notificação deve ser feita dentro de um período de tempo razoável, de acordo com a lei. O normal seriam em 72 horas, porque a empresa precisa investigar e tomar medidas urgentes para prevenir maiores danos relacionados ao vazamento"
Lucas Silva, diretor associado de compliance, forense e inteligência da consultoria Control Risks

"O mercado leva a sério estas situações porque elas expõem as fraquezas de uma companhia em seus controles internos. Poderia prejudicar outras negociações e contratos no futuro", diz Silva. "Empresas que sofrem vazamentos têm de ter muito cuidado sobre como vão responder. Elas não podem criar pânico entre seus investidores, mas precisam notificar as autoridades."

Se a empresa não faz a notificação, pode ser multada em até 2% de sua receita, com valor máximo de R$ 50 milhões. A receita estimada da Andrade Gutierrez em 2023 é de R$ 5 bilhões.

The Brazilian Report procurou a Andrade Gutierrez em 16 de fevereiro e 1º de março, mas a empresa disse que não iria comentar. Desde que o vazamento ocorreu, a companhia não o admitiu publicamente.

Há razões para acreditar que a companhia não tomou medidas para remediar a crise. The Brazilian Report também entrou em contato com a CCR, administradora de ativos de infraestrutura que a Andrade Gutierrez detinha há pouco tempo. Apesar de um grande volume de dados da CCR ter sido comprometido pelo vazamento, a empresa disse que "não estava ciente do problema".

Como empresa de capital aberto, a CCR teria de ter informado os investidores sobre o vazamento se tivesse conhecimento dele.

Já a ANPD disse que "não há informação pública" sobre o caso, acrescentando que qualquer investigação sobre descumprimento da lei seria mantida em sigilo de qualquer maneira.

O vazamento, um dos maiores da história recente, evidencia que as empresas brasileiras ainda contam com ferramentas inadequadas de segurança cibernética. O Brasil é um dos países do G20 mais atrasados em termos de segurança online, de acordo com o Índice de Defesa Cibernética do MIT Technology Review. O país ocupa a 18ª posição geral, atrás de economias emergentes como México e Índia.

A maior economia da América Latina ficou entre os cinco países com pior desempenho nos quatro pilares da pesquisa: 16º lugar em recursos de segurança cibernética, 17º em infraestrutura crítica, 18º em capacidade organizacional e 19º em comprometimento com políticas.

Segundo a Fortinet, o país registrou 31,5 milhões de tentativas de ataques cibernéticos a empresas apenas no primeiro semestre do ano passado.

Outro estudo, da Check Point Software, mostrou que os ataques cresceram quase 40% no terceiro trimestre de 2022 e que o Brasil também é (de longe) o líder na América Latina em número de ataques do tipo phishing e ransomware.

Nos últimos anos, grandes empresas como a varejista Americanas, o app de delivery iFood, a locadora de veículos Localiza e a gigante produtora de proteína JBS, além de órgãos governamentais como o Ministério da Saúde, foram vítimas de hackers.

Em março, a ANPD publicou uma norma que prevê as penalidades a serem impostas a empresas e agências governamentais que não protegem os dados que manipulam.

Segundo Guilherme Guimarães, diretor jurídico da consultoria Datalege, a medida "dá força à agência reguladora" e abre caminho para que as empresas sejam punidas. O caso da Andrade Gutierrez pode ser oportunidade ideal para a ANPD começar este trabalho.