A Confederação Nacional dos Trabalhadores na Agricultura (Contag) sofreu um suposto vazamento de dados que teria exposto dados de repasses para entidades estaduais que representam os trabalhadores rurais.
O leak foi publicado em fórum cibercriminoso em 2024 e assinado por um atacante conhecido como “MrBolota”. Além de valores, é alegado o vazamento de supostos endereços de e-mails, localizações, senhas, documentos, assinaturas, carteiras de motorista, informações de cartões de crédito e transferências do INSS (Instituto Nacional do Seguro Social).
Os dados vazados são vendidos por 0,15 bitcoin (BTC), o equivalente a cerca de R$ 83 mil. Não há informações se a Contag foi e ainda é chantageada.
O TecMundo teve acesso a parte do material, como amostra. Contudo, a reportagem não recebeu qualquer amostra de dados pessoais, somente dos números que poderiam ser os repasses realizados pela Contag.
O atacante também comentou que enviou a amostra do vazamento porque, na época, houve descaso sobre o tratamento dos dados.
A Contag, recentemente, se viu envolvida no escândalo do INSS. Segundo o g1, o Instituto desbloqueou descontos não autorizados nas folhas de pagamento de quase 34,5 mil aposentados da Contag. Em sua defesa, a confederação diz que não cometeu fraude e denunciou práticas abusivas ao INSS.
O vazamento
De acordo com o cibercriminoso, foram acessados os computadores pessoais dos trabalhadores e toda a infraestrutura digital. Segundo ele, o vazamento conta com mais de 1,9 milhão de partições individuais.
Além disso, ele cita que há “fraudes da companhia”, sem explicitar muito o que são essas informações.
O cibercriminoso afirma ainda que a Contag tem ciência da falha, mas que “nunca fez nada a respeito, bem como, nunca responderam meus e-mails”.
O que mostram os vazamentos da Contag?
Na amostra que o TecMundo teve acesso estão supostos repasses do Contag para entidades estaduais e sindicatos ligados. Os arquivos analisados mostram instituições de todos os entes da federação.
Dentre elas estão a Federação dos Trabalhadores Rurais Agricultores e Agricultoras Familiares (Fetagri) do Amazonas e Amapá; Federação dos Trabalhadores na Agricultura de Rondônia (Fetagro); Federação dos Trabalhadores na Agricultura do Estado de Santa Catarina (Fetaesc) e Federação dos Trabalhadores na Agricultura Familiar do Estado de São Paulo (Fetaesp), por exemplo.
Os registros dos supostos repasses foram separados mês a mês e correspondem aos anos de 2006 a 2020.
A título de curiosidade, a amostra analisada pelo TecMundo também conta com arquivos chamados de “Outros repasses”. Em um deles está listado supostos repasses que totalizam R$ 9,6 milhões e correspondem a dezembro de 2019.
Esse arquivo cita municípios dos estados do Amazonas, Mato Grosso, Pará, Rio Grande do Sul, Santa Catarina e Acre. Os dados mostram que houve um suposto repasse de R$ 444,6 mil ao sindicato de trabalhadores da cidade amazonense de Manaquiri, por exemplo.
Outro detalhe é que há uma referência ao “Banco do Brasil”, indicando que as contas movimentadas são da instituição financeira estatal.
Vulnerabilidade de SQL Injection
O ataque aos dados do Contag foram feitos através do método de SQL Injection. Esse é o nome dado a uma falha na codificação de uma aplicação qualquer (seja web ou local) que possibilita, por meio de um input qualquer, a manipulação de uma consulta SQL.
Essa manipulação é chamada Injeção, então, o termo Injeção SQL. Resumindo: o SQL Injection é uma técnica de ataque baseada na manipulação do código SQL, que é a linguagem utilizada para troca de informações entre aplicativos e bancos de dados relacionais.
Outro lado
O TecMundo entrou em contato com a Confederação Nacional dos Trabalhadores na Agricultura e questionou sobre o vazamento. Até o fechamento desta matéria, a Contag ainda não havia retornado com um posicionamento.
Redirecionando…
