A Claro apura um alegado incidente de segurança que teria exposto a infraestrutura em nuvem da operadora e dados de clientes. O anúncio do suposto invasor, identificado como PacketSlut, foi publicado num fórum na segunda-feira (29) e oferece “administração completa” dos sistemas por cerca de R$ 9 milhões (30 000 XMR).
Oferta inclui servidores, bases de dados e buckets S3
De acordo com a publicação, o pacote dá acesso a múltiplas regiões da Amazon Web Services, VMware, SSH, APIs internas e buckets S3 com logs, configurações e faturamento. O invasor também lista credenciais para PostgreSQL, DocumentDB, MongoDB, repositórios Git, SonarQube, SQS e Terraform. Segundo o anúncio, o comprometimento afetaria operações “críticas para mais de 80 milhões de clientes, 39 000 funcionários e receitas superiores a US$ 9,7 bilhões”.
Hacker diz ter obtido credenciais por descuido interno
Em contacto com a imprensa, PacketSlut declarou que as credenciais estavam expostas por um funcionário “descuidado”, sem necessidade de exploração avançada. Ele afirma não ter baixado informações pessoais nem fechado qualquer transação, alegando ser a primeira tentativa de venda na dark web. Apesar disso, o post menciona potencial de uso para ransomware, exfiltração de dados ou espionagem prolongada.
Claro ainda não se pronunciou
A operadora foi procurada para confirmar se houve falha de terceiros ou vazamento de dados de clientes, mas não respondeu até o momento desta publicação. Imagens divulgadas pelo autor mostram navegação em ambientes AWS da empresa, porém não comprovam a extração de registros sensíveis.
Até que a investigação interna seja concluída, permanece a incerteza sobre a extensão real do incidente e se dados de consumidores chegaram a ser expostos ou comercializados.
