CPQD: dados vazaram ou não?

O Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPQD), focado na inovação em tecnologias da informação e comunicação, admitiu que sofreu um “incidente” após o site CISO Advisor noticiar um vazamento de dados atribuídos à instituição.

Os operadores do ransomware LV anunciaram o suposto ataque em seu site na dark web, onde publicaram dois endereços de dois diretórios.

Um deles continha apenas o subdiretório QA, iniciais da área de testes de software e processos, e o outro, os subdiretórios clientes, proceedings e projetos.

Segundo o portal, a existência de um arquivo chamado desktop.ini em um deles indica que a máquina acessada pode ter sido um computador pessoal. Outros documentos de texto estavam ilegíveis, podendo ter sido criptografados pela instituição ou pelos cibercriminosos.

Apesar disso, o grupo afirma ter obtido dados de plataformas como GitHub, banco de dados do Jira e Confluence, além de servidores de blockchain, banco de dados de reconhecimento facial do Banco Central, documentos diversos e “muito mais dados”.

Sua publicação exibia capturas de tela do VSphere supostamente do centro de pesquisa, incluindo o mapa que aponta todas as máquinas virtuais administradas por essa instância.

Uma das telas publicadas mostra o armazenamento de dados da máquina supostamente acessada, tratando-se de uma estação de trabalho na qual existem dois dispositivos de armazenamento locais: um disco de 1,03 TB e um disco de 109 GB, além de um armazenamento em rede de 349 GB.

Apesar de admitir o incidente, o CPQD afirmou em nota enviada à imprensa que nenhum dado pessoal foi vazado, nem nenhuma solução de cliente foi comprometida.

“Os repositórios divulgados como desprotegidos referem-se a testes realizados internamente visando a garantia de qualidade de soluções blockchain desenvolvidas, sem nenhum dado pessoal ou informação sensível”, garantiu a instituição.

Além disso, nenhuma solução blockchain desenvolvida pelo CPQD, envolvendo informações sensíveis de pessoas ou empresas, estaria em uso atualmente pelo Banco Central do Brasil.

A organização ainda ressaltou que as soluções de identidade digital descentralizada baseadas em blockchain desenvolvidas por ela colocam o controle dos dados pessoais nas mãos dos próprios usuários, “justamente para evitar situações de vazamento ou o acesso a informações sensíveis por pessoas não autorizadas''.

Sem dar mais detalhes sobre a natureza ou extensão do problema, o centro de pesquisa afirmou que todos os protocolos de segurança foram acionados e medidas foram tomadas para apurar o incidente e evitar qualquer transtorno às operações de clientes e parceiros. 

Com 45 anos de atuação, o CPQD é uma organização privada que entrega serviços e desenvolve tecnologias de produtos e de sistemas de missão crítica. Seu portfólio conta com soluções de internet das coisas, inteligência artificial, conectividade, blockchain e mobilidade elétrica.