Análise do ciberataque de 16/08 contra a OBS (Olympic Broadcasting Services)

Vazamento de informações de uma base de dados associada ao website principal da OBS:

- An English version of this article is also available.

No dia 16 de Agosto, a equipe da Tempest identificou um incidente de hacktivismo bastante relevante associado à operação #OpOlympicHacking: o grupo hacktivista brasileiro AnonOpsBR publicou em seu perfil no Twitter (@anonopsbrazil) um suposto dump de uma base de dados da OBS (Olympic Broadcasting Services).

A OBS é uma agência oficial do COI (Comitê Olímpico Internacional), responsável pela geração de imagens das Olimpíadas e por transmitir o conteúdo gerado para as empresas que detêm direitos de transmissão.

O tweet original sobre o vazamento foi publicado pelo grupo AnonOpsBR às 16:12h (fuso-horário de Brasília).

Uma captura de tela da publicação está exibida a seguir:

(a imagem acima foi editada para evitar exposição direta do link nela contido)


O tweet informava que a OBS havia sido comprometida em nome da operação #OpOlympicHacking e também continha um link para outra publicação disponibilizada no Pastebin.

O texto armazenado no Pastebin continha uma pequena introdução à #OpOlympicHacking (que já havia sido identificado em diversas outras publicações associadas à operação) e possuía a seguinte descrição: ‘Olympic Broadcasting Services (OBS) Database’.

Adicionalmente, esse texto também continha um link para download do dump associado à suposta base de dados vazada.

Uma captura de tela das primerias linhas do dump está exibida a seguir:

(a imagem acima foi editada para evitar exposição das informações contidas no dump)


Algumas horas depois, outros atores hacktivistas brasileiros começaram a divulgar informações sobre o dump de dados da OBS. O perfil do Twitter @YourAnonNewsBR — que possui cerca de 32 mil seguidores — fez um re-tweet da publicação original sobre o vazamento de informações. Além disso, a página no Facebook do grupo AnonBRNews, com aproximadamente 430 mil likes, também fez uma publicação sobre o dump. Essas informações começaram a chamar atenção em redes sociais e portais de notícias brasileiros no decorrer da noite do dia 16 de Agosto.

Antes do dump ser removido do MEGA, o serviço de hospedagem de arquivos utilizado pelo grupo AnonOpsBR, a equipe da Tempest fez o seu download e realizou uma análise inicial das informações que ele continha.

Foram identificadas fortes evidências de que o dump de fato possuía dados reais da OBS, por exemplo, informações sobre alguns de seus funcionários e colaboradores terceirizados, incluindo, porém não se limitando aos seguintes dados:

  • Nomes completos;
  • Números de telefones fixos e celulares no Rio de Janeiro;
  • Endereços de e-mail da OBS;
  • Cargos e funções.


O dump de dados também continha alguns links para documentos PDF potencialmente sensíveis que estariam hospedados no website principal da empresa (www.obs.tv).

Cerca de 2 horas depois da primeira mensagem sobre o dump ter sido publicada no Twitter, o website principal da OBS foi retirado de operação — medida provavelmente tomada pela própria empresa e sem relação com ataques DDoS ou qualquer outro tipo de ciberofensiva.

O website voltou ao ar pouco antes do fim do dia 16 de Agosto, mas não há confirmação de que todas as suas funcionalidades e seções haviam sido completamente restauradas.

Dados de inteligência e algumas informações extra-oficiais obtidas durante os dias 16 e 17 de Agosto reforçam a tese de que o vazamento continha dados reais, porém que a invasão não teria afetado a geração e transmissão de imagens das Olimpíadas, uma vez que todas as operações de campo da OBS seriam segregadas de sua presença online na Internet.

Devido à natureza do dump, aos metadados associados e às informações vazadas, é bastante provável que os dados tenham sido obtidos como resultado de um ataque de SQL Injection no website da OBS. Entretanto, até a finalização deste artigo, não havia confirmação oficial dessa hipótese.

Uma possível motivação para a realização deste ataque está relacionada ao incidente envolvendo uma câmera de vídeo da OBS, que despencou dos cabos de suporte nas instalações do Parque Olímpico, no Rio de Janeiro. Este incidente ocorreu no dia 15 de Agosto e culminou com a câmera atingindo algumas pessoas que estavam próximas ao local, as quais precisaram receber atendimento médico.

Por fim, é importante esclarecer que a invasão à OBS e o vazamento de sua base de dados não possui qualquer relação com a infraestrutura de tecnologia das Olimpíadas Rio 2016 ou com quaisquer de seus sistemas, que não sofreram nenhum tipo de impacto em suas operações e não foram afetados de nenhuma maneira.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.