Um vazamento massivo de dados expôs 16 bilhões de dados, informaram pesquisadores da Cybernews, veículo independente sobre notícias de segurança cibernética, na última quarta-feira (18).
A equipe diz que o Brasil, provavelmente, é um dos países mais atingidos pelo vazamento. “Os conjuntos de dados descobertos pela equipe variam bastante. Por exemplo, o menor, que leva o nome de um software malicioso, continha mais de 16 milhões de registros. Já o maior, provavelmente relacionado à população de língua portuguesa, continha mais de 3,5 bilhões de registros. Em média, um conjunto de dados com credenciais expostas continha 550 milhões de registros”, explicam os pesquisadores.
Após a publicação do relatório, a Cybernews atualizou a reportagem informando que os dados contêm muitas informações repetidas, antigas e recicladas de vazamentos anteriores. A empresa, inclusive, não divulgou amostras dos arquivos encontrados, o que geralmente é uma prática padrão entre pesquisadores de cibersegurança para validar este tipo de material.
Especialistas contestam as informações
- A denúncia ainda aponta que os conjuntos de dados são formados por registros de infostealers, credential stuffing e vazamentos antigos reestruturados.
- Infostealers são malwares que podem invadir computadores ou smartphones e que têm a capacidade de roubar e-mails e senhas.
- Dependendo do nível de sofisticação do ataque, eles conseguem captar prints de tela e até o que é digitado no teclado.
- Se uma pessoa tiver centenas ou até mil senhas salvas no navegador, o malware consegue roubar todas elas de uma única vez.
- Já credential stuffing é um método automatizado e escalável que usa bots para testar uma grande quantidade de credenciais roubadas em sites diversos.
- Apesar da gravidade da situação, alguns especialistas contestam as alegações.
- Segundo Alon Gal, CTO da empresa de cibersegurança Hudson Rock, o caso provavelmente não passa de um combinado entre credenciais velhas e registros “inventados”.
- O Google se pronunciou afirmando que o problema não decorreu de um vazamento dos servidores da empresa. Apple e Meta não comentaram.
Mas o Bleeping Computer rebateu que, "apesar da repercussão, não há evidências de que essa compilação contenha dados novos ou não vistos anteriormente".
Ele comparou a situação com casos como o RockYou2024, uma compilação de quase 10 bilhões de senhas reveladas em julho de 2024. O número chamou atenção, mas boa parte das credenciais já tinha sido vazada três anos antes.
A empresa de segurança cibernética Hudson Rock estima que infostealers roubam, em média, cerca de 50 credenciais por computador. Nessa conta, para conseguir 16 bilhões de senhas, seria preciso invadir 320 milhões de dispositivos.
Algumas recomendações de especialistas em segurança cibernética são:
- atualizar senhas antigas,
- usar um gerenciador de senhas,
- usar autenticação multifator (que inclui várias etapas no login),
- evitar a reutilização de senhas,
- permanecer vigilante em relação a sinais de comprometimento.
- Caso precise de ajuda nossa Equipe WDS Soluções está aqui para lhe auxiliar a fazer as proteções.
Fonte: G1/Olhar Digital