Andrade Gutierrez, konglomerat konstruksi besar Brasil yang beroperasi di 11 negara, mengalami pelanggaran keamanan besar-besaran.
Anggota grup peretas yang menyebut diri mereka “Malaikat Kegelapan” mencuri sekitar 3 terabyte email dan informasi perusahaan – termasuk nama, alamat email, paspor, informasi pembayaran, nomor ID pajak, dan detail asuransi kesehatan dari lebih dari 10.600 karyawan saat ini dan mantan. Nama, gelar, tanggal, dan detail lain yang dimuat dalam bocoran tersebut konsisten dengan informasi publik.
Para peretas juga memperoleh cetak biru dan proyeksi 3D dari proyek infrastruktur penting yang dibangun oleh Andrade Gutierrez, termasuk pelabuhan dan bandara, mobilitas perkotaan dan fasilitas kesehatan, serta pekerjaan untuk Piala Dunia 2014 dan Olimpiade 2016, termasuk stadion Beira-Rio di Porto Alegre dan Taman Olimpiade di Rio de Janeiro.
Email yang tak terhitung jumlahnya yang diperoleh para peretas mengungkap data pribadi karyawan dan perusahaan – termasuk login dan kata sandi untuk mengakses profil resmi Andrade Gutierrez di situs web berbagai otoritas pajak kota dan negara bagian. Kepemilikan kode ini akan memberikan akses ke semua jenis pengembalian pajak yang diajukan oleh perusahaan.
Sebuah sumber memberi Laporan Brasil akses ke sampel 15-gigabyte tersedia untuk diunduh dalam grup Telegram. Menurut para peretas, grup tersebut mencoba memberi tahu Andrade Gutierrez tentang kerentanan di servernya sebelum menyediakan sebagian data.
Pelanggaran tersebut terjadi antara bulan September dan Oktober, sekitar waktu yang sama dengan Andrade Gutierrez a perlindungan kebangkrutan di luar pengadilan setelah mengakumulasi utang sebesar USD 440 juta.
Nama Andrade Gutierrez masuk ke leksikon umum Brasil pada tahun 2015, ketika para eksekutif perusahaan itu ditangkap sebagai bagian dari Operasi Cuci Mobil antikorupsi, sebuah satuan tugas antikorupsi besar-besaran selama bertahun-tahun diluncurkan pada tahun 2014. Perusahaan akhirnya menandatangani perjanjian keringanan hukuman yang menjanjikan untuk mengembalikan BRL 1,5 miliar ke pundi-pundi publik, sebagai hukuman atas praktik korupsinya dalam pekerjaan umum federal.
Peretas tidak memberikan perincian spesifik tentang kapan atau bagaimana mereka meretas server perusahaan konstruksi agar tidak teridentifikasi. Mereka mengatakan Andrade Gutierrez mengabaikan korespondensi mereka, dan kerentanan sistem yang mereka eksploitasi tetap terbuka.
“Tampaknya tim IT mereka sangat lalai dalam pekerjaan mereka sehingga mereka tidak mungkin menutup kerentanan mereka dalam waktu dekat,” kata seorang anggota Dark Angels. Laporan Brasil melalui pertukaran pesan di Telegram. Orang tersebut menambahkan bahwa perusahaan mencoba untuk menghapus file yang disusupi setelah diberitahu tentang pelanggaran – tetapi peretas telah menyalinnya.
Kebocoran data memiliki banyak implikasi. Pertama, ini adalah pelanggaran besar yang dapat menyebabkan denda jutaan reais di bawah Undang-Undang Perlindungan Data Umum (LGPD) Brasil yang diberlakukan dua tahun lalu.
Alain Juillet, mantan pejabat tinggi di badan intelijen asing Prancis, mengutip risiko lain. “Dari perspektif bisnis, hal ini membuat perusahaan terpapar pesaing yang berniat buruk yang mungkin ingin meniru desain dan teknik di pasar lain, seperti Afrika atau Asia,” kata Mr. kata Juillet.
“Tapi risiko terbesar adalah keselamatan publik. Sebuah kelompok teroris dengan akses ke informasi semacam itu akan memiliki peluang luar biasa untuk melakukan kejahatan,” tambahnya.
Laporan Brasil telah memutuskan untuk tidak memublikasikan dokumen yang dapat menimbulkan risiko keamanan atau mengungkap data pribadi.
Menurut Undang-Undang Perlindungan Data Umum, yang berlaku sejak September 2020, perusahaan yang mengalami pelanggaran data harus memberi tahu Badan Perlindungan Data Nasional (ANPD) dan semua orang dan perusahaan yang datanya telah disusupi.
“Pemberitahuan ini harus dilakukan dalam jangka waktu yang wajar oleh undang-undang,” kata Lucas Silva, direktur asosiasi kepatuhan, forensik, dan intelijen di firma konsultan Control Risks. “Tujuh puluh dua jam akan menjadi praktik standar, karena perusahaan harus menyelidiki dan mengambil tindakan segera untuk mencegah kerusakan lebih lanjut terkait pelanggaran tersebut,” tambah Mr. Silva di.
“Pasar menganggap serius situasi ini karena mengungkap kelemahan perusahaan dalam pengendalian internal. Ini dapat mengganggu negosiasi dan kontrak di masa depan,” kata Mr. Silva. “Perusahaan yang mengalami kebocoran harus sangat berhati-hati dalam menanggapinya. Mereka tidak ingin menimbulkan kepanikan di kalangan investor, tetapi mereka juga perlu memberi tahu pihak berwenang.”
Jika perusahaan gagal memenuhi persyaratan pemberitahuan, perusahaan dapat didenda hingga 2 persen dari pendapatannya, dibatasi hingga BRL 50 juta (USD 9,6 juta). Perkiraan pendapatan Andrade Gutierrez untuk tahun 2022 adalah BRL 3,3 miliar, menurut laporan pendapatan Mei lalu.
Laporan Brasil Andrade Gutierrez dihubungi pada 16 Februari dan 1 Maret, tetapi perusahaan mengatakan tidak akan berkomentar untuk artikel ini. Sejak pelanggaran itu terjadi, Andrade Gutierrez belum mengakuinya secara terbuka.
Ada alasan untuk meyakini bahwa perusahaan tidak mengambil langkah apa pun untuk memperbaiki krisis. Kami juga menghubungi CCR, administrator aset infrastruktur yang sahamnya dimiliki Andrade Gutierrez sampai saat ini. Meskipun banyak data CCR yang dikompromikan oleh kebocoran tersebut, kata CCR Laporan Brasil itu “tidak menyadari masalah ini.”
Sebagai perusahaan publik, CCR seharusnya memberi tahu investor tentang pelanggaran tersebut jika mengetahuinya.
Badan Perlindungan Data Nasional (ANPD) mengatakan “tidak ada informasi publik” tentang masalah ini, menambahkan bahwa setiap penyelidikan terhadap prosedur ketidakpatuhan akan dirahasiakan.
Pelanggaran, salah satu yang terbesar dalam ingatan baru-baru ini, menyoroti bahwa perusahaan Brasil masih mengandalkan alat keamanan siber yang tidak memadai. Brasil adalah salah satu negara G20 yang membuat kemajuan paling lambat dan tidak merata dalam menciptakan lingkungan pertahanan dunia maya yang baik. Itu menurut Indeks Pertahanan Cyber Tinjauan Teknologi MIT. Negara ini menempati urutan ke-18 secara keseluruhan, di belakang negara berkembang seperti Meksiko dan India.
Perekonomian terbesar Amerika Latin termasuk di antara lima yang berkinerja terburuk dalam empat pilar survei: ke-16 dalam sumber daya keamanan siber, ke-17 dalam infrastruktur kritis, ke-18 dalam kapasitas organisasi, dan ke-19 dalam komitmen kebijakan.
Menurut Fortinet, negara tersebut mencatat 31,5 juta upaya serangan dunia maya terhadap bisnis pada paruh pertama tahun lalu saja.
Studi lain, oleh Checkpoint Software, menunjukkan bahwa pertumbuhan ini berlanjut di Q3, ketika serangan dunia maya di negara tersebut meningkat hampir 40 persen. Brasil juga (sejauh ini) pemimpin di Amerika Latin dalam jumlah serangan jenis phishing dan ransomware.
Dalam beberapa tahun terakhir, perusahaan besar seperti pengecer Americanas, raksasa pengiriman iFood, raksasa penyewaan mobil Localiza, dan pemimpin pengepakan daging JBS, serta berbagai lembaga pemerintah (seperti Kementerian Kesehatan), telah menjadi korban peretasan.
Awal pekan ini, Otoritas Perlindungan Data Nasional menerbitkan kerangka hukuman yang dapat dikenakan pada perusahaan dan lembaga pemerintah yang gagal melindungi data yang mereka tangani.
Menurut Guilherme Guimarães, penasihat umum di perusahaan konsultan Datalege, langkah tersebut “memberikan otot badan pengatur” dan meletakkan dasar bagi perusahaan untuk dihukum. Kasing Andrade Gutierrez mungkin memberinya kesempatan untuk melenturkan otot-otot itu.