Gerenciador financeiro WHMCS sofre ataque hacker
Comum em empresas que vendem ou revendem serviços de hospedagem de sites, o gerenciador financeiro WHMCS sofreu recentemente um ataque através de engenharia social, resultando no vazamento de informações sigilosas de diversos clientes, incluindo dados de cartões de crédito. Perfil no Twitter também foi tomado pelos criminosos.
Porém se você usa o sistema em seu servidor ou tem seu site hospedado numa empresa que faça uso dele, não precisa se preocupar. A invasão ocorreu por conta de que o e-mail do desenvolvedor foi usado para enganar o suporte da empresa de hospedagem do site do WHMCS através de engenharia social. Com os dados de acesso em mãos, os hackers entraram no servidor e, através da conta no Twitter que foi tomada, estão divulgando arquivos contendo todos os dados que foram vazados.
Se você tem conta no site whmcs.com, acesse sua área do cliente e altere a senha imediatamente. Se tem dados de cartão de crédito associados com a conta, favor entrar em contato com a emissora do cartão para solicitar uma segunda via pois a anterior pode ter sido comprometida. A página inicial do site foi deformada e apresentava o nome da equipe de hackers responsável pela ação. O servidor de licenças saiu temporariamente do ar mas parece já ter voltado ao normal. O site principal parece estar sofrendo ataques distribuídos de negação de serviço (DDoS) constantemente.
Os serviços aos poucos estão sendo reestabelecidos, mas sem dúvidas este evento vai pesar e muito contra a imagem de um sistema tão popular no ramo em que atua. Já há relatos de pessoas migrando para outras ferramentas de gerenciamento financeiro, mas a real vantagem disso ainda não é clara. O sistema que eles oferecerem ainda é muito seguro e não foi comprometido, sendo que o maior erro aqui parece ter sido primeiramente da empresa de hospedagem que caiu num golpe de engenharia social e do desenvolvedor que parece usar a mesma senha para vários serviços, incluindo o perfil no Twitter. Quem usa WHMCS, pelo menos por enquanto, não precisa se preocupar.
Um ataque de engenharia social ocorre quando alguém se aproveita da confiança das pessoas para enganá-las. O criminoso pode tentar se passar por outro indivíduo, pode assumir outra personalidade ou até fingir que é um profissional de alguma área. Um exemplo simples de engenharia social é obter informações de uma rede sem fio que usa o nome verdadeiro do dono. Alguém mal intencionado pode ir até a casa da vítima ou telefonar e se passar por amigo ou serviço de suporte técnico, pedindo a senha por tê-la “esquecido” ou para “realizar verificações na rede”.
Com acesso obtido, o criminoso pode realizar atividades ilegais como invadir sites ou acessar conteúdos relacionados a pedofilia. Quem vai pagar o pato é o dono do IP do qual o pirata virtual está cometendo os delitos. Recomenda-se que você nunca use seu próprio nome na rede sem fio de casa e que use senhas diferentes para cada serviço que utilizar na internet. Também jamais insira seus dados de cartão de crédito diretamente nos sites que costuma fazer compras. Nesse caso, prefira usar PayPal ou algum serviço brasileiro como PagSeguro e MoIP.
Agora deve-se tomar cuidado com emails falsos que poderão ser enviados para os endereços que estavam em meio aos dados vazados. Sites de phishing do WHMCS também devem aparecer e para quem tinha o cartão associado, compras internacionais não reconhecidas podem constar no extrato caso você não solicite uma segunda via. Cuidado ao arriscar baixar os arquivos vazados, pois eles contém vírus que podem roubar mais dados de novas vítimas.
A empresa anteriormente responsável pela hospedagem do site do WHMCS era a HostGator, que caiu no golpe de engenharia social. Agora o responsável pelo whmcs.com parece estar movendo tudo para servidores da Softlayer. Porém, vale lembrar que nenhum serviço é totalmente seguro e já vimos até grandes empresas de segurança sucumbirem a falhas como a Stratfor, que trabalha para grandes governos e diversas empresas listadas na Fortune 500 e mesmo assim foi hackeada há algum tempo. Nunca deposite 100% de sua confiança em qualquer serviço.