Descobrindo a história chocante do golpe de matrícula de um jovem de 20 anos!
,
Em 2020, um jovem de Múrcia de 23 anos conseguiu infiltrar-se nos sistemas da Direcção Geral de Trânsito (DGT) ligando-se ao certificado digital do DNI da sua mãe. Depois disso, esteve extraindo dados da referida organização durante quase quatro anos , até que a Polícia Nacional o prendeu há dois meses.
Seu caso não se destaca apenas pela enorme quantidade de dados vazados (mais de 40 milhões, relativos tanto a veículos quanto a seus proprietários), mas também pela complexidade e duração da operação criminosa. Na verdade, trata-se de uma operação muito semelhante à do popular Alcasec , o ahcker espanhol que se infiltrou nos Sistemas de Ponto Neutro Judicial… com o objetivo de poder aceder a partir daí aos sistemas da Agência Tributária.
Uma olhada em… Como solicitar o CERTIFICADO DIGITAL de PESSOA SINGULAR ao FNMT
Modus operandi e detenção
Poucos dias antes da prisão, as autoridades tomaram conhecimento do vazamento de aproximadamente 80.000 registros da DGT …e logo descobriram que o ataque cibernético era muito mais amplo e complexo do que isso: o detido, fazendo uso de um vulnerabilidade nas formas de pagamento do imposto de transmissão de propriedade do sistema de Escritório Eletrônico de várias comunidades autônomas, teve acesso não só aos sistemas de Múrcia, mas também aos da Andaluzia, das Ilhas Baleares e das Ilhas Canárias.
E a partir daí, devido à interligação entre administrações eletrónicas, conseguiu aceder aos dados da DGT.
Neste site A ‘Mãe de Todos os Vazamentos’: Quase 26 bilhões de senhas identificadas neste banco de dados recém-descoberto
O modus operandi do jovem de Múrcia foi meticulosamente planejado para evitar ser descoberto. Utilizando o referido certificado digital, o nosso protagonista criou um’script’que lhe permitia fazer pedidos de dados em massa, mas gradualmente l, ficando fora do radar dos sistemas de segurança informática (pelo menos até que, por arrogância ou erro, ele extraiu os 80.000 registros mencionados acima de repente).
O seu objetivo era criar uma vasta base de dados comercializável, oferecendo um serviço de verificação de dados de veículos (algo utilizado por quem pretende comprar automóveis usados) a um preço inferior ao da DGT (que cobra 9€ por consulta), ou mesmo vender as informações a terceiros interessados, como seguradoras ou portais de venda de dados roubados.
A detenção do jovem (que foi possível após a identificação do seu IP) ocorreu no dia 19 de fevereiro de 2024, resultado de uma operação coordenada pelo Comissariado Geral de Informação (tradicionalmente associado ao combate ao terrorismo) e em que ninguém menos que o Centro Criptológico Nacional (o CCN-CERT, dependente do CNI).
A rápida ação das autoridades permitiu recuperar o banco de dados criado pelo detento e neutralizar outras duas cópias de segurança que ele mantinha ocultas, evitando que essas informações caíssem nas mãos de organizações criminosas.
Durante uma conferência organizada pelo Departamento de Segurança Cibernética da CCN, liderada por Javier Candau, ele fez comentários perspicazes sobre vários aspectos da segurança cibernética em dezembro do ano anterior.
“Depois da pandemia, há cada vez mais utilizadores a trabalhar remotamente, funcionários a trabalhar a partir de casa. Roubar suas credenciais tornou-se mais fácil do que nunca. A interligação entre organizações públicas também torna cada vez mais fácil saltar de uma para outra. De uma Câmara Municipal pode-se saltar para os sistemas da Administração Geral do Estado. Isso nos obriga a mudar o modelo de segurança.”
Através de | O confidencial
0
Imagem | Marcos Merino por meio de IA
Para obter um relatório gratuito do histórico do veículo do Ministério dos Transportes espanhol, DGT, para qualquer automóvel usado, siga estas etapas para evitar ser vítima de esquemas fraudulentos:
1
*️⃣ Link da fonte: