Andrade Gutierrez, konglomerat konstruksi besar Brasil yang beroperasi di 11 negara, mengalami pelanggaran keamanan besar-besaran.
Anggota kelompok peretas yang menamakan diri mereka “Malaikat Kegelapan” mencuri sekitar 3 terabyte email dan informasi perusahaan – termasuk nama, alamat email, paspor, informasi pembayaran, nomor identitas pajak, dan rincian asuransi kesehatan dari lebih dari 10.600 karyawan saat ini dan mantan karyawan. Nama, judul, tanggal, dan detail lain yang terkandung dalam bocoran tersebut sesuai dengan informasi publik.
Para peretas juga memperoleh cetak biru dan proyeksi 3D dari proyek infrastruktur penting yang dibangun oleh Andrade Gutierrez, termasuk pelabuhan dan bandara, mobilitas perkotaan dan fasilitas kesehatan, serta pekerjaan untuk Piala Dunia 2014 dan Olimpiade 2016, termasuk stadion Beira-Rio- di Porto Alegre dan Taman Olimpiade di Rio de Janeiro.
Email yang tak terhitung jumlahnya yang diperoleh para peretas mengungkap data pribadi karyawan dan perusahaan – termasuk login dan kata sandi untuk mengakses profil resmi Andrade Gutierrez di situs web berbagai otoritas pajak kota dan negara bagian. Kepemilikan kode-kode ini akan memberikan akses terhadap semua jenis pengembalian pajak yang disampaikan oleh perusahaan.
Sebuah sumber memberi Laporan Brasil akses ke sampel 15 gigabyte yang tersedia untuk diunduh di grup Telegram. Menurut para peretas, kelompok tersebut mencoba memberi tahu Andrade Gutierrez tentang kerentanan di servernya sebelum menyediakan sebagian datanya.
Pelanggaran tersebut terjadi antara bulan September dan Oktober, sekitar waktu yang sama dengan Andrade Gutierrez a perlindungan kebangkrutan di luar pengadilan program setelah mengumpulkan utang sebesar USD 440 juta.
Nama Andrade Gutierrez mulai digunakan dalam leksikon umum Brasil pada tahun 2015, ketika para eksekutif perusahaan masih menjabat. ditangkap sebagai bagian dari Operasi Cuci Mobil anti-korupsi, sebuah gugus tugas anti-korupsi besar-besaran yang dibentuk selama bertahun-tahun pada tahun 2014. Perusahaan tersebut akhirnya menandatangani perjanjian keringanan hukuman yang menjanjikan pengembalian BRL 1,5 miliar ke kas negara, sebagai hukuman atas praktik korupsinya dalam pekerjaan umum federal.
Para peretas tidak memberikan rincian spesifik tentang kapan atau bagaimana mereka melanggar server perusahaan konstruksi agar tidak teridentifikasi. Mereka mengatakan Andrade Gutierrez mengabaikan korespondensi mereka, dan kerentanan sistem yang mereka eksploitasi tetap terbuka.
“Tampaknya tim IT mereka terlalu lalai dalam bekerja sehingga mereka sepertinya tidak akan bisa menutup kerentanan mereka dalam waktu dekat,” kata salah satu anggota Dark Angels. Laporan Brasil melalui pertukaran pesan di Telegram. Orang tersebut menambahkan bahwa perusahaan mencoba menghapus file yang disusupi setelah diberitahu tentang pelanggaran tersebut – tetapi para peretas telah menyalinnya.
Kebocoran data mempunyai banyak implikasi. Pertama, ini merupakan pelanggaran besar yang dapat menyebabkan denda jutaan reais berdasarkan Undang-Undang Perlindungan Data Umum (LGPD) Brasil yang diberlakukan dua tahun lalu.
Alain Juillet, mantan pejabat tinggi di badan intelijen luar negeri Prancis, menyebutkan risiko lain. “Dari sudut pandang bisnis, hal ini menghadapkan perusahaan pada pesaing yang berniat buruk yang mungkin ingin meniru desain dan teknik di pasar lain, seperti Afrika atau Asia,” kata Mr. kata Juillet.
“Tetapi risiko terbesar adalah keselamatan publik. Kelompok teroris yang memiliki akses terhadap informasi semacam itu akan memiliki peluang besar untuk melakukan tindakan yang merugikan,” tambahnya.
Laporan Brasil telah memutuskan untuk tidak mempublikasikan dokumen yang dapat menimbulkan risiko keamanan atau mengungkap data pribadi.
Menurut Undang-Undang Perlindungan Data Umum yang berlaku sejak September 2020, perusahaan yang mengalami pelanggaran data harus memberitahukan Badan Perlindungan Data Nasional (ANPD) dan seluruh masyarakat serta perusahaan yang datanya telah dibobol.
“Pemberitahuan ini harus dilakukan dalam jangka waktu yang wajar menurut hukum,” kata Lucas Silva, direktur asosiasi kepatuhan, forensik, dan intelijen di perusahaan konsultan Control Risks. “Tujuh puluh dua jam akan menjadi praktik standar, karena perusahaan harus menyelidiki dan mengambil tindakan segera untuk mencegah kerusakan lebih lanjut terkait pelanggaran tersebut,” tambah Mr. Silva di.
“Pasar menanggapi situasi ini dengan serius karena hal ini memperlihatkan kelemahan perusahaan dalam pengendalian internal. Hal ini dapat mengganggu negosiasi dan kontrak di masa depan,” kata Mr. Silva. “Perusahaan yang mengalami kebocoran harus sangat berhati-hati dalam meresponsnya. Mereka tidak ingin menimbulkan kepanikan di kalangan investor, namun mereka juga perlu memberi tahu pihak berwenang.”
Jika sebuah perusahaan gagal mematuhi persyaratan pemberitahuan, perusahaan tersebut dapat didenda hingga 2 persen dari pendapatannya, dibatasi hingga BRL 50 juta (USD 9,6 juta). Perkiraan pendapatan Andrade Gutierrez pada tahun 2022 adalah BRL 3,3 miliar, menurut laporan pendapatan Mei lalu.
Laporan Brasil Andrade Gutierrez dihubungi pada 16 Februari dan 1 Maret, namun perusahaan mengatakan tidak akan memberikan komentar untuk artikel ini. Sejak pelanggaran tersebut terjadi, Andrade Gutierrez belum mengakuinya secara terbuka.
Ada alasan untuk meyakini bahwa perusahaan tidak mengambil langkah apa pun untuk memperbaiki krisis ini. Kami juga menghubungi CCR, administrator aset infrastruktur tempat Andrade Gutierrez memegang sahamnya sampai saat ini. Meskipun banyak data CCR yang disusupi oleh kebocoran tersebut, kata CCR Laporan Brasil itu adalah “tidak menyadari masalah ini.”
Sebagai perusahaan publik, CCR seharusnya memberi tahu investor tentang pelanggaran tersebut jika mereka mengetahui hal tersebut.
Badan Perlindungan Data Nasional (ANPD) mengatakan “tidak ada informasi publik” mengenai masalah ini, dan menambahkan bahwa penyelidikan apa pun terhadap prosedur yang tidak dipatuhi akan dijaga kerahasiaannya.
Pelanggaran tersebut, salah satu yang terbesar dalam beberapa tahun terakhir, menyoroti bahwa perusahaan-perusahaan Brasil masih mengandalkan alat keamanan siber yang tidak memadai. Brasil adalah salah satu negara G20 yang mengalami kemajuan paling lambat dan tidak merata dalam menciptakan lingkungan pertahanan siber yang baik. Demikian menurut Indeks Pertahanan Siber dari MIT Technology Review. Negara ini berada pada peringkat ke-18 secara keseluruhan, di bawah negara-negara berkembang seperti Meksiko dan India.
Negara dengan perekonomian terbesar di Amerika Latin ini termasuk dalam lima negara dengan kinerja terburuk dalam empat pilar survei ini: peringkat ke-16 dalam hal sumber daya keamanan siber, peringkat ke-17 dalam hal infrastruktur penting, peringkat ke-18 dalam hal kapasitas organisasi, dan peringkat ke-19 dalam hal komitmen kebijakan.
Menurut Fortinet, negara ini mencatat 31,5 juta upaya serangan siber terhadap bisnis pada paruh pertama tahun lalu saja.
Studi lain yang dilakukan oleh Checkpoint Software menunjukkan bahwa pertumbuhan ini berlanjut pada Q3, ketika serangan siber di negara tersebut meningkat hampir 40 persen. Brasil juga (sejauh ini) merupakan pemimpin di Amerika Latin dalam jumlah serangan jenis phishing dan ransomware.
Dalam beberapa tahun terakhir, perusahaan-perusahaan besar seperti pengecer Americanas, raksasa pengiriman iFood, raksasa penyewaan mobil Localiza, dan pemimpin pengepakan daging JBS, serta berbagai lembaga pemerintah (seperti Kementerian Kesehatan), telah menjadi korban peretasan.
Awal pekan ini, Otoritas Perlindungan Data Nasional menerbitkan kerangka hukuman yang dapat dikenakan pada perusahaan dan lembaga pemerintah yang gagal melindungi data yang mereka tangani.
Menurut Guilherme Guimarães, penasihat umum di perusahaan konsultan Datalege, tindakan tersebut “memberikan kekuatan pada badan pengawas” dan memberikan dasar bagi perusahaan untuk dihukum. Kasus Andrade Gutierrez mungkin memberikan kesempatan untuk melenturkan otot-otot tersebut.