Pesquisadores da Syhunt, desenvolvedora de soluções de segurança da informação, com sede no Rio de Janeiro, analisaram um compilado de vazamentos que consideram ser o maior vazamento de senhas da história da internet, com 3,28 bilhões de senhas, vinculadas a 2,18 bilhões de e-mails de representantes de governos, judiciários, empresas privadas e usuários finais do mundo todo, expostas em fórum cibercriminoso, de forma gratuita.
- Dados raspados de mais de 1 bilhão de usuários do LinkedIn estão sendo vendidos em fórum cibercriminoso
- Quase 280 criadores do OnlyFans tiveram seus conteúdos adultos vazados
- Exclusivo: dados de quase 1,5 milhão de alunos são expostos por falha na Secretaria da Educação do DF
De acordo com fundador da Syhunt, Felipe Daragon, o banco de dados foi publicado no dia 2 de fevereiro deste ano, no mesmo fórum onde foram publicados dados pessoais e os CPFs de 223 milhões de brasileiros (janeiro deste ano) e foi chamado pela empresa de PWCOMB21, uma sigla que representa PassWord Compilation Of Many Breaches Of 2021 (compilado de muitos vazamentos de senhas de 2021).
Assim como seu próprio nome indica, o PWCOMB21 é um banco de dados que reúne vazamentos antigos, em um único arquivo, que descompactado chega a 100GB. Ou seja, isso não significa que as vítimas presentes no vazamento tenham sido invadidas recentemente, mas que, eventualmente tiveram suas senhas vazadas ou descobertas por cibercriminosos.
Das 3,28 bilhões de senhas expostas, 1,5 milhão são de e-mails governamentais, sendo que os Estados Unidos é o país mais afetado, com mais de 625 mil senhas de e-mails ligados ao governo dos EUA. Além dos EUA, muitos outros países também foram afetados, como o Reino Unido, Austrália, Brasil, Canadá, África do Sul, México, França e outros.
Com um total de 9.78 milhões de senhas vazadas, o Brasil ocupa o quarto lugar na lista de senhas de governos mais vazadas, com 68,535 (0,70% de 9.78 milhões) senhas expostas.
Felipe explica que esse número de vítimas brasileiras, no entanto, pode ser muito maior, pois não foram contabilizados os e-mails @gmail.com. Já que o Google não permite checar nacionalidade de um usuário através do endereço de e-mail.
Os usuários que não tiveram suas nacionalidades identificadas não foram contabilizados. "O número real é muito maior porque os e-mails gmail.com não foram considerados", escreve Felipe em um relatório, publicado pela Syhunt na última segunda-feira (26/04).
Analisando os e-mails do governo brasileiro, a Syhunt identificou que o banco estatal, CAIXA, é a instituição mais afetada no vazamento, com mais de 2 mil senhas expostas. Veja a baixo a relação das principais vítimas brasileiras:
Comportamento de troca de senhas
Como foi dito anteriormente, foram expostas 3,28 bilhões de senhas, vinculadas a 2,18 bilhões de e-mails. Isso significa que, em alguns casos, mais de uma senha está ligada ao mesmo e-mail, como, por exemplo, senhas antigas, mas que foram compiladas e adicionadas ao banco de dados. Felipe conta que a Syhunt analisou essa diversidade de senhas que ligam ao mesmo e-mail para estabelecer padrões de como os usuários mudam de senha.
"Concluímos que não apenas o vazamento expõe as senhas atuais e passadas, mas também fornece informações sobre os principais elementos e padrões de senha, além de informações como reutilização e hábitos em relação às senhas de indivíduos e organizações de todo o mundo de uma forma perigosa e sem precedentes", explica
"Na maioria dos casos, de 3 a 30 senhas vinculadas a um único e-mail foram expostas, o que dá uma visão sobre os hábitos de alteração de senha de uma pessoa. E quando uma senha se repete com um nome de usuário idêntico em vários domínios, alguém com o hábito de reutilização de senha é exposto", completa.
Além disso, esse banco de dados, embora contenha somente e-mail e senhas, ele pode ser somado a outros vazamentos, como o vazamento dos 220 milhões de CPFs, por exemplo.
"O vazamento dos CPFs [...] fornece informações sobre detalhes importantes, como e-mail, data de aniversário, nomes de familiares e assim por diante, que as pessoas podem usar como parte de suas senhas atuais. Quando os dois vazamentos são explorados juntos, as chances de adivinhar a senha atual de uma vítima aumentam significativamente", conclui.
Necessidade de analisar vazamentos
A The Hack entrou em contato com Felipe Daragon para saber como foi o processo de análise do vazamento, além de discutir como as instituições afetadas podem se proteger.
O executivo explica que desde janeiro deste ano a Syhunt percebeu que o setor de tecnologia e segurança da informação não analisa e responde os vazamentos como deveriam fazer, por isso, a empresa se envolveu neste e em outros casos.
“Levamos dias analisando o vazamento [...] Contactamos clientes, amigos e familiares, para confirmar a origem de algumas das senhas vazadas, o quão atualizadas estavam e determinar a gravidade do vazamento. Não tinhamos um supercomputador a nossa disposição, por isso, demorou um pouco para chegar a esses números tão detalhados”, diz.
Felipe explica que a indústria geral não está preparada para lidar com essas ondas de vazamentos, megavazamentos e compilados de vazamentos, mas, com as recentes análises e respostas dadas pelas empresas especialistas em segurança da informação, o mercado está tomando conhecimento e amadurecendo seus comportamentos com relação à proteção de dados.
“O coração da crise atual está nas gangues de ransomware, que somente no ano passado arrecadaram 350 milhões de dólares, segundo relatório da Chainalysis. [Além disso, os cibercriminosos estão] se aproveitando da apressada migração para a nuvem, gerada pela pandemia para atacar empresas. Mas também existem outros fatores. Há anos o cibercrime passa por uma forte expansão e agora estamos vendo o reflexo dela”, explica.
As instituições (além de qualquer outra pessoa que possa ter sido vítima do PWCOMB21) devem orientar seus funcionários a não reutilizar senhas, assim como também devem evitar usar partes da mesma senha antiga em qualquer situação.
“Tem gente que utiliza a mesma senha do e-mail para acessar a Wi-Fi de casa. Já as empresas e agências governamentais devem expandir o uso de autenticação multifator (MFA), aposentar os hashes obsoletos, criar mecanismos para frear a raspagem de dados, compreender e impedir as muitas formas de invasão e roubo de dados e outros”, conclui o executivo.
Perigo de incorporação de profissionais públicos
De acordo com o diretor técnico da Trend Micro Brasil, Franzvitor Fiorim, vazamentos de credenciais podem ser ainda mais perigosos que os de dados, como documentos e informações pessoais, pois, uma vez que um cibercriminoso acessa um e-mail de alguém, ele pode incorporar essa pessoa.
"Imagine um atacante com acesso a uma conta pertencente a um domínio governamental como exposto na matéria? Poderia simplesmente enviar um e-mail de uma conta deste domínio, solicitando uma informação confidencial, se passar por um colaborador para um ataque de engenharia social, ou iniciar um ataque propagando um arquivo malicioso, ou um link e provavelmente levaria pouca suspeita uma vez que a origem seria um endereço interno", diz.
"As credenciais dos domínios e os dados de identificação pessoal podem ser usados por inúmeros ataques diferentes, mas essas informações em conjunto tornam o ataque ainda mais perigoso. Imagine o atacante se passando por um agente público com dados pessoais de uma vítima? Ou um ataque a um agente público com ambos, acesso ao e-mail corporativo e com os dados pessoais da vítima?", conclui.
Fontes: Syhunt.