1 bilhão de senhas e endereços de email foram vazados. O que isso significa?
Você ouve especialistas em segurança cibernética conversando sobre o preenchimento de credenciais o tempo todo, mas você já pensou na logística pura de realizar um ataque desse tipo? Recheio de credenciais (ou recheio de senha, como às vezes é referido) significa pegar combos de nome de usuário e senha vazados em um serviço online e testá-los contra vários outros. Como as pessoas usam as mesmas credenciais de login em diferentes plataformas, um único par de nome de usuário e senha pode abrir muitas contas. A teoria é bastante simples, mas alguns de vocês já devem ter percebido alguns problemas.
Primeiro, todo o apelo do preenchimento de credenciais é que afeta muitas pessoas ao mesmo tempo. Se os hackers precisarem digitar manualmente todos os pares de nome de usuário e senha e aguardar a mensagem "Login com êxito", o ataque não será particularmente eficaz. É por isso que eles usam scripts especiais e botnets para fazer a maior parte do trabalho para eles. Toda essa automação é completamente inútil, no entanto, se os criminosos não tiverem um grande volume de credenciais vazadas para começar. Obtê-los é, à primeira vista, o maior problema.
Obviamente, os criminosos sempre podem ir a um mercado da dark web ou a um fórum de hackers e desembolsar alguns bitcoins em troca de nomes de usuário e senhas roubados. Porém, às vezes, tudo o que eles precisam fazer é usar um mecanismo de pesquisa.
1,5 TB de endereços de email e senhas restantes em um banco de dados desprotegido do ElasticSearch
Bob Diachenko, especialista em segurança cibernética responsável pela descoberta e divulgação de muitos vazamentos de dados em massa, fez exatamente isso - ele usou um mecanismo de busca. Em 4 de dezembro, ele encontrou um banco de dados Elasticsearch que não estava protegido por nenhuma forma de autenticação com a ajuda do BinaryEdge - um serviço de verificação da Internet. Nele, havia 2,7 bilhões de registros, com um peso de 1,5 TB. Todos os registros tinham endereços de e-mail, e cerca de 1 bilhão deles também continha senhas em texto sem formatação, o que tornava o banco de dados perfeito para qualquer um que tentasse iniciar um ataque de preenchimento de credencial em larga escala.
De fato, esse pode ser o motivo pelo qual os dados acabaram expostos em primeiro lugar. Depois de descobri-lo, Diachenko compartilhou suas descobertas com pesquisadores da Comparitech, que examinaram mais de perto e disseram que alguém estava adicionando cada vez mais registros à instalação do Elasticsearch, possivelmente em preparação para uma campanha de preenchimento de credenciais. Os pesquisadores não conseguiram descobrir quem era o dono do banco de dados, mas informaram o ISP que o hospedava e, em 9 de dezembro, ele foi retirado. No entanto, o BinaryEdge o indexou primeiro em 1º de dezembro, o que significa que as credenciais de logon permaneceram expostas por mais de uma semana. Durante esse período, qualquer um poderia ter baixado e usado para todos os tipos de atividades maliciosas.
A maioria das credenciais vem de "The Big Asian Leak"
Em janeiro de 2017, um cibercriminoso apelidado de DoubleFlag descreveu o despejo de dados de quase um bilhão de contas que ele estava tentando vender como "The Big Asian Leak". Segundo os especialistas da Comparitech, esse despejo foi colocado no banco de dados desprotegido do Elasticsearch que Diachenko encontrou no início do mês.
A grande maioria dos nomes de usuário e senhas foi roubada de serviços online chineses populares e eles pertencem a pessoas no leste da Ásia, daí o nome. Como o HackRead relatou na época, o DoubleFlag queria um pouco mais de US $ 600 para as credenciais de login. Menos de três anos depois, eles estavam acessíveis a qualquer pessoa que tivesse uma conexão com a Internet e sabia onde procurar. Isso mostra a rapidez com que os dados se depreciam quando são roubados.
Pelo lado positivo, os nomes de usuário e senhas agora são bastante antigos, o que significa que pelo menos alguns deles não são mais válidos. Há uma coisa que torna esses dados específicos mais assustadores do que outros incidentes semelhantes. As pessoas no Extremo Oriente costumam ter problemas para entender e digitar caracteres latinos, razão pela qual costumam usar seus números de telefone como nomes de usuário ao criar suas contas de email. Graças a isso, o banco de dados desprotegido levou à exposição de vários números de telefone, que, por si só, podem causar muitos danos.
Mesmo que seu número de telefone não esteja incluído no seu endereço de e-mail e mesmo que você não seja afetado por esse vazamento de dados específico, a exposição deve mostrar novamente que tipo de risco você está correndo reutilizando as mesmas senhas em vários contas.
