Identificamos vazamento (20/07) que veicula dados do Gabinete Civil do Estado de Goiás, órgão público de nível estadual equivalente à Casa Civil em nível federal.
A autoria do vazamento foi reivindicada por YmmurcBan, hacker/grupo com amplo histórico de ataques cibernéticos, mas de nacionalidade desconhecida.
A publicação ocorreu no site de compartilhamento de texto Pastebin e indica nome de usuário, e-mail e senhas em claro (uma delas em hash MD5).
A autoria do vazamento foi reivindicada por YmmurcBan, hacker/grupo com amplo histórico de ataques cibernéticos, mas de nacionalidade desconhecida.
Um exemplo do histórico de ataques do hacker/grupo foi o vazamento de dados realizado contra a Câmara Municipal de Matão/SP, em 01 de junho de 2018.
Nenhum dos vazamentos teve declaração que indicasse conteúdo político-ideológico. O hacker/grupo demonstra elevada capacidade técnica, está em atuação desde o ano de 2016, praticou um grande número de ataques contra alvos brasileiros, mas seus objetivos não são conhecidos até o presente momento.
Observação
O histórico sobre o domínio gabinetecivil.goias.gov.br de vazamentos de dados com conteúdo similar ao apresentado no vazamento supramencionado:
- pastebin.com/2BSLSfDd – publicação já removida – 2017-07-24,
- pastebin.com/hdUCmWp3 – publicação já removida (autoria: @Cryptolulz666) – 2017-01-02,
- pastebin.com/QwJSgThd – publicação on-line (autoria: dkr) – 2016-12-29,
- pastebin.com/Y8GKPhdL, pastebin.com/1f7JDPvc, pastebin.com/fWNjzCk5 e pastebin.com/1gLkhVq0 (removida) – demais publicações on-line (autoria: Chu) – 2016-04-10,
- pastebin.com/7pW87PHw – publicação removida (autoria: Angel) – 2015-04-30
Além dos vazamentos similares relatados, foram registradas desfigurações de página em 2017-11-04 (Anarchy Ghost) e 2018-03-22 (Silent Attack Brasil). Nesse último registro também um vídeo com demonstração do ataque havia sido postado no YouTube (https://www.youtube.com/watch?v=fkCQMWP46Ow).
O domínio vinculado à Câmara Municipal de Matão/SP camaramatao.sp.gov.br também acusou a presença de uma publicação que indica o uso de ferramenta sqlmap (pastebin.com/6sRX8NJE – 2016-10-09) e uma desfiguração de página pelo hacker VaporError, em 2016-04-30.
Esse longo histórico de incidentes sugere que os dois ativos computacionais referenciados apresentaram vulnerabilidades que foram exploradas nos últimos dois anos.