Era uma vez a IHG (InterContinental Hotels Group), uma das maiores redes hoteleiras do mundo, com mais de 6.000 unidades espalhadas ao redor do planeta. Um belo dia, a sua rede interna caiu e ficou inoperante por mais de 24 horas, o que resultou em um cenário de caos no sistema de reservas e check-ins da empresa.
Inicialmente, a IHG entrou no modo Chitãozinho & Xororó. Ou seja, negou as aparências e disfarçou as evidências para informar que o problema ocorreu por conta de uma manutenção de sistema. Porém, é difícil ver uma mentira se sustentando por muito tempo, e em um segundo momento, a rede confirmou o óbvio: foi vítima de um ataque hacker.
O que a grande maioria das pessoas não imagina é que esse ataque pode ser considerado um dos mais fáceis da história da informática recente, já que seja lá quem foi que invadiu a IHG teve a sua missão muito facilitada.
Em teoria, deveria ser uma das redes mais seguras do mundo…
Muitos poderiam imaginar que a IHG contava com um complexo sistema de segurança informática. Afinal de contas, uma rede hoteleira desse porte precisa tomar medidas preventivas para tentar evitar que os dados dos seus usuários sejam roubados por conta de qualquer descuido.
Com esse pensamento em mente, muitos acreditaram que o hacker que invadiu e derrubou a rede hoteleira deveria ser um gênio especialista em violar barreiras cibernéticas de qualquer espécie. E um feito como esse fatalmente vira notícia em qualquer lugar do planeta.
E isso não deixa de ser verdade, de alguma forma. Eu mesmo estou aqui escrevendo sobre o ataque hacker à IHG. Porém, eu não estou produzindo este artigo por causa dos motivos certos. Ou melhor, é o motivo certo, mas bem errado.
Tudo começou com um ataque de phishing que conseguiu enganar um dos funcionários do hotel, o que resultou no download de um malware que estava anexado ao e-mail. Dessa forma, o hacker conseguiu capturar o código de autenticação em dois passos desse funcionário, o que abriu as portas para o ataque cibernético.
Uma vez que esse primeiro objetivo foi alcançado, chegou a hora de ir para o próximo passo: ter acesso às senhas internas da IHG. Mas a grande surpresa para todo mundo (inclusive para o hacker que, muito provavelmente, não acreditou naquilo que estava diante dele) foi constatar que a senha das credenciais roubadas era nada menos que Querty1234.
…mas alguém deixou a chave do hotel embaixo do tapete da porta de entrada…
Essa é uma das senhas mais populares do mundo. Se bem que, neste caso, essa popularidade é negativa, pois qualquer pessoa que tiver essa sequência poderá desbloquear milhões de contas de internet e sistemas conectados espalhados ao redor do planeta. E o único ponto de “dificuldade” aqui (se é que dá para dizer isso) foi o fato de mesclar de alguma forma letras maiúsculas e minúsculas na senha.
E, ainda assim, fizeram isso da forma mais simplória e incompetente possível.
A parte mais absurda desse incidente é que essa mesma senha Qwerty1234 e o nome de usuário que concedia o acesso à rede interna do hotel estava disponível para rigorosamente TODOS OS FUNCIONÁRIOS DA IHG! Em termos práticos, um total de nada menos que 200 mil funcionários tinham acesso ao mesmo nome de usuário e senha para acessar essa plataforma.
Eu realmente não consigo me lembrar da última vez que uma senha tão fraca poderia resultar em um estrago tão grande. Sem falar na magnitude do incidente, que tem traços de um roteiro escrito pelos roteiristas da série The Office.
Quem decidiu expor o pessoal da IHG ao nível de humilhação pública foram os próprios responsáveis pelo ataque cibernético. Dois hackers vietnamitas que respondiam pelo nome TeaPea entraram em contato com a BBC (via Telegram) e enviaram capturas de tela que são evidências que a dupla realmente tinha realizado o ataque hacker com sucesso.
Até porque… convenhamos: mais fácil que isso, é muito difícil. Só se o dono da IGH entregasse o seu computador com todas as informações para os hackers.
A veracidade das imagens enviadas pela dupla foi reconhecida pela IHG, confirmando que o ataque realmente aconteceu. Os hackers tiveram acesso aos e-mails internos da rede hoteleira enviados e recebidos via Outlook, as conversas estabelecidas no Microsoft Teams e aos diretórios do servidor.
Por outro lado, os atacantes garantem que não roubaram dados dos clientes da rede hoteleira, demonstrando um certo nível de ética diante do cenário estabelecido. Ou ficaram com pena dos responsáveis pela IGH, já que a facilidade encontrada pelos criminosos cibernéticos chega a ser constrangedora.
Originalmente, os hackers planejaram um ataque de ransomware, mas o seu time de TI conseguiu isolar os servidores da rede hoteleira antes que a iniciativa original fosse implementada. Tudo o que a dupla queria era se divertir um pouco às custas da IHG, e no lugar dos planos originais, apenas olharam tudo o que tinha lá dentro e apagaram por completo os dados que acessaram.
A última pá de cal nessa história: os hackers afirmam que não sentem arrependimento sobre o ataque, informando que os seus atos não vão causar danos à IHG. Mal eles sabem que os danos já estão estabelecidos, já que muitos (inclusive eu) estão fazendo um baita bullying com a rede hoteleira que tinha uma segurança informática simplesmente patética.
Por outro lado, vamos ver como a IHG tentou controlar a narrativa para conter os danos.
Um porta-voz da rede hoteleira nega que a senha utilizada para proteger a sua rede interna não era segura. Afirma que os atacantes tiveram que superar “múltiplas camadas de segurança, utilizando muitas soluções de segurança modernas”.
Sei. Tá certo. Mas… se fosse isso mesmo, uma declaração como essa era realmente necessária? Aliás, falar sobre isso sem revelar nenhum detalhe adicional só vai levantar mais suspeitas do que certezas.
Pelo sim, pelo não, a IHG reforça que os seus serviços voltaram ao normal, mas alguns dos seus recursos podem permanecer intermitentes. Assim como o sinal de alerta que está mais do que berrando em uma das redes de hotéis mais bem sucedidas do planeta.
Só passou da hora de colocar senhas robustas para evitar eventuais invasões e vazamentos de dados. É o mínimo que se pede de uma empresa desse porte.