Geral Dados pessoais de 620 milhões de contas de 16 sites são vendidos no submundo da internet
Por Redação O Sul | 17 de fevereiro de 2019
O site de tecnologia britânico “The Register” revelou a existência de um novo pacote de dados vazados que já está sendo comercializado no submundo da internet. O pacote inteiro sai por cerca de 20 mil dólares (aproximadamente R$ 75 mil) – um preço alto para esse tipo de informação. No entanto, alguns dos sites envolvidos confirmaram o vazamento recente de suas informações, o que significa que hackers podem estar dispostos a pagar por dados mais novos.
A reportagem do “The Register” teve acesso a trechos dos dados vazados e confirmou que as informações parecem legítimas.
Os sites envolvidos são Dubsmash (162 milhões de contas), MyFitnessPal (151 milhões), MyHeritage (92 milhões), ShareThis (41 milhões), HauteLook (28 milhões), Animoto (25 milhões), EyeEm (22 milhões), 8fit (20 milhões), Whitepages (18 milhões), Fotolog (16 milhões), 500px (15 milhões), Armor Games (11 milhões), BookMate (8 milhões), CoffeeMeetsBagel (6 milhões), Artsy (1 milhões) e DataCamp (700 mil).
Cada registro inclui o endereço de e-mail, o nome e a senha codificada por algoritmo de hash. O hash é uma função de via única (ela não pode ser “decifrada”). Porém, com tentativa e erro, os hackers podem descobrir as senhas que geraram aquele hash.
Algumas tecnologias de hash são mais frágeis que outras — certos registros do site de fotografia 500px, por exemplo, ainda estão usando a tecnologia MD5, que é considerada obsoleta. A mesma tecnologia era usada no vazamento do LinkedIn, em 2012.
O armazenamento da senha em formato de hash aumenta a segurança e é considerado uma prática adequada, desde que a tecnologia empregada também esteja entre as recomendadas.
A presença do hash é ainda um forte indício de que esses dados foram obtidos por meio de invasões aos próprios serviços e não por outros meios, como páginas clonadas e programas espiões instalados nos computadores de internautas. Nesses casos, as senhas já estariam em seu formato original, e não convertidas.
Os dados foram ofertados no Dream Market, um mercado negro acessível somente pela rede anônima Tor. O pagamento deve ser feito em Bitcoin.
Dados podem ser inéditos
Diferentemente dos 2,2 bilhões de credenciais presentes nos pacotes de senha das Coleções 1 a 5, que incluíam principalmente dados de invasões antigas e vazamentos anteriores, o pacote encontrado pelo “The Register” parece trazer informações de vazamentos recentes que ainda estão sendo investigados pelos sites.
O vazamento do MyHeritage já havia sido revelado pelo próprio site em junho de 2018. O Animoto alertou seus usuários em agosto e o MyFitnessPal também publicou um alerta de vazamento de dados em março do ano passado.
Dubsmash e o 500px confirmaram agora que dados foram obtidos de seus servidores — no caso do Dubsmash, a invasão teria ocorrido há apenas dois meses, em dezembro de 2018. O 8fit, o CoffeeMeetsBagel e o DataCamp disseram que vão investigar se um vazamento teria ou não ocorrido. Os demais sites não se pronunciaram até o momento.
O ineditismo dos dados aumenta o risco para os internautas, já que essas informações ainda são desconhecidas para ao menos parte dos especialistas em segurança e de serviços que podem alertar internautas sobre a necessidade de trocar senhas expostas.
Por outro lado, como as senhas estão protegidas, quem utiliza senhas longas e fortes deve ter ao menos um bom tempo para tomar qualquer medida necessária antes que criminosos consigam quebra a proteção das senhas.
