Hackers vazam contratos sobre Super Tucano, dados de funcionários e até 'lista de churras' atribuídos à Embraer

Empresa confirmou invasão em comunicado ao mercado, mas não se pronuncia sobre documentos na deep web

São Paulo

Hackers publicaram na internet uma série de arquivos atribuídos à Embraer. Há relações com nomes e telefones de funcionários, orçamentos, correspondências com detalhes da venda de aviões militares do modelo A-29 Super Tucano e até informações prosaicas, como a lista dos que pagaram R$ 37,92 para participar do "churras dos parças".

Os documentos foram vazados na chamada deep web, uma parte da internet que fica oculta, não indexada em sites de busca, como o Google.

Em 30 de novembro, a Embraer divulgou fato relevante informando ao mercado que fora alvo de um ataque cibernético, no dia 25 daquele mês, e ele teria resultado na divulgação de dados "supostamente atribuídos à companhia".

O vazamento foi provocado por um grupo que faz ataques do tipo ransomware, uma espécie de sequestro digital em que se exige pagamento para a liberação de sistemas ou para evitar o vazamento dos dados. A empresa não teria pago a quantia solicitada, por isso os dados foram publicados.

No comunicado, a empresa detalha que o ataque "indisponibilizou o acesso a apenas um único ambiente de arquivos da companhia", em outras palavras, os hackers teriam sequestrado e bloqueado o acesso àqueles dados.

Modelo A-29 Super Tucano; avião da Embraer é usado por 15 forças aéreas no mundo, incluindo a FAB
Modelo A-29 Super Tucano; avião da Embraer é usado por 15 forças aéreas no mundo, incluindo a FAB - Omar Sobhani/Reuters

A Folha analisou os arquivos vazados. São quatro grandes pastas com mais de 200 documentos. A pasta com o título "Pessoas" traz várias tabelas em Excel com dados de funcionários, como nome, CPF, telefone e data de aniversário (dia e mês de nascimento).

A reportagem pesquisou a relação na rede social profissional LinkedIn e identificou que várias delas apresentam a Embraer em seus currículos.

O vazamento desse tipo de dado pode ser acessado por terceiros e comercializado ilegalmente na internet. Criminosos também podem usá-los como engenharia social, para extorquir dinheiro das pessoas ou chantageá-las.

Em uma das pastas há 22 PDFs detalhando o "Nigeria Program". Outra pasta traz, por exemplo, subcontratos de cadeia de suprimentos e uma chamada "Alinhamento BARCO". Há também fotos com imagens do interior de uma cabine de avião.

O "programa Nigéria" é um acordo comercial com o país africano envolvendo a venda do A-29 Super Tucano.

O site da empresa informa que esse modelo de aeronave já foi selecionados por 15 forças aéreas no todo mundo. A FAB (Força Aérea Brasileira) utiliza o Super Tucano, que é o seu principal caça de ataque leve.

Há troca de cartas em inglês com fornecedores ligados ao avião militar e regulamentos exigindo confidencialidade entre diferentes empresas.

Em abril deste ano, a Embraer e a empresa Sierra Nevada Corporation, que aparece nos documentos vazados na internet, anunciaram que o primeiro Super Tucano da Força Aérea da Nigéria completou seu voo inaugural na fábrica de Jacksonville, na Flórida (EUA).

A Força Aérea da Nigéria encomendou 12 aeronaves do tipo. Os aviões A-29 Super Tucano destinados ao país têm entregas previstas para 2021, de acordo com o site da companhia.

Entre os dados vazados pelos hackers estão até detalhes sobre encontros de confraternização. No caso do "churra dos parças", há uma lista com 36 nomes, o número de crianças participantes, o local do evento em São José dos Campos, onde há uma unidade da empresa, além de observações como quem não pagou e o cardápio, que inclui costela no chão.

Procurada pela reportagem, a Embraer não se pronunciou até a publicação deste texto.

A Lei Geral de Proteção de Dados, em vigor desde setembro, determina que vazamentos sejam publicados por empresas em comunicados oficiais. Elas também devem notificar os titulares de dados cujas informações circularam na internet.

A lei prevê que as empresas podem ser penalizadas com multas de até R$ 50 milhões, a depender do caso, por não protegerem adequadamente dados de seus funcionários e clientes. Sanções só estão previstas para agosto de 2021.

No comunicado divulgado no final de novembro, a Embraer destacou que "a companhia está empreendendo todos os seus esforços para investigar as circunstâncias do ataque, avaliar se existem impactos sobre seus negócios e terceiros, e determinar as medidas a serem tomadas". Também diz que manterá o mercado informado dos desdobramentos deste evento.

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.