Bug poaching: Uma nova tática de extorsão cuja o alvo são empresas
Imagine que um ladrão entre na sua casa, mas não roube absolutamente nada, ao invés disso ele tira fotos de tudo que você tenha de valor em casa e vai embora. Alguns dias depois você recebe uma carta com todas as fotos tiradas pelo ladrão com a mensagem: “Se você quiser saber como eu entrei na sua casa, você terá de pagar um valor x.”
Na carta o ladrão não avisa se ele vai tentar invadir a sua casa novamente, ou se ele vai distribuir para outros ladrões as cópias das fotos que ele fez. Ele simplesmente diz para você pagar um valor x para que ele possa lhe dizer como ele entrou na sua casa.
Agora imagine essa mesma situação acontecendo com uma empresa, ao invés do ladrão agora temos um hacker e no lugar das fotos agora o que temos são os dados sensíveis da empresa nas mão do hacker que solicita a empresa vítima a pagar uma quantia x para que ele possa mostrar a empresa vítima como ele teve acesso a esses dados.
A forma com que bug poaching funciona é muito simples. O atacante procura por falhas no website de uma empresa por exemplo. Digamos que ele encontre um SQLI, ele explora a falha que dará acesso ao banco de dados da empresa e faz um dump daquilo que for possível.
Depois o atacante salva o dump do banco de dados na nuvem e envia um email para a empresa vítima com o link para a mesma possa ver que alguém realmente acessou seu banco de dados. A ideia aqui é de prova de conceito.
E por fim o atacante solicita que a empresa vítima realize o pagamento no valor x para que ele possa dizer como teve acesso a esses dados.
Assim como no exemplo da casa, aqui o atacante não diz se vai atacar novamente e nem se vai expor os dados da empresa para outros hackers, mesmo a empresa vítima realizando o pagamento solicitado pelo atacante.
Caso a sua empresa já passou ou está passando por uma situação como essa informe as autoridades competentes.
Fonte: https://securityintelligence.com/bug-poaching-a-new-extortion-tactic-targeting-enterprises/
