O grupo Lapsus voltou a atacar as operações de internet da Americanas, forçando a empresa a suspender temporariamente suas operações de comércio eletrônico nos domínios Americanas e Submarino. O incidente ocorreu no início da madrugada de hoje. Exatamente à 00h47 o grupo publicou em seu canal no Telegram a frase “kkkkkkkkkkkk round 2 Americanas” e em seguida “this time we hacked the PCI (payment) environment also LOL” (desta vez hackeamos o ambiente de pagamentos PCI).
Veja isso
Grupo Lapsus anuncia ataque a Submarino e Americanas
Submarino Viagens e CVC também comunicam ataque
A publicação do grupo contém uma tela de conversa de um serviço de mensagens, ocorrida entre especialistas que tratavam de detalhes do incidente. O diálogo inclui uma resposta do grupo Lapsus, indicando que podia ler o que diziam todos. Num dos diálogos alguém pergunta “Do they use hashicorp vault?” O Lapsus assume a iniciativa de responder dizendo “Yes! Let me even provide the root token!” (Sim! Deixe-me até fornecer o token root) e acrescentando um link e um suposto token (veja na imagem).
Consultado pelo CISO Advisor, o pesquisador Felipe Jordão Silva é da opinião de que o link exibido pelo Lapsus na tela é da intranet das Americanas (a estrutura ainda contém referências ao nome B2W, empresa que foi holding das Americanas e Submarino). Segundo o especialista, “essa modalidade de vault é uma forma de controle de acessos, onde um individuo através da web se conectaria ao intranet da empresa. Como ali é um vault da Hashicorp, para consumir as informações, os clientes (usuários ou aplicativos) precisam estabelecer sua identidade”.
O HashiCorp Vault é uma ferramenta de gerenciamento de segredos (secrets) projetada especificamente para controlar o acesso a credenciais confidenciais em um ambiente de baixa confiança. Ele pode ser usado para armazenar dados sensíveis e, ao mesmo tempo, gerar dinamicamente acesso para serviços/aplicativos específicos.
Em contato com o CISO Advisor pela manhã, a assessoria de comunicação das Americanas informou que estava levantando informações. Às 14h05, a organização enviou o seguinte comunicado: “A Americanas informa que voltou a suspender proativamente parte dos servidores do ambiente de e-commerce na madrugada deste domingo (20/02) e acionou prontamente seus protocolos de resposta assim que identificou acesso não autorizado. A companhia atua com recursos técnicos e especialistas para avaliar a extensão do evento e normalizar com segurança o ambiente de e-commerce o mais rápido possível. A companhia reitera que trabalha com rígidos protocolos para prevenir e mitigar riscos. As lojas físicas não tiveram suas atividades interrompidas e permanecem operando”.
