40 milhões de registros de usuários do aplicativo Wishbone são vendidos on-line
Como mencionamos ontem, os cibercriminosos geralmente tentam ganhar dinheiro com dados comprometidos anos atrás. Quando Catalin Cimpanu, um dos repórteres de segurança da ZDNet, encontrou um anúncio vendendo as informações dos usuários do aplicativo Wishbone em um fórum secreto, ele provavelmente pensou que isso é exatamente o que está acontecendo.
O popular aplicativo de teste sofreu uma violação de dados em 2016, quando hackers vazaram um banco de dados contendo as informações pessoais de cerca de 2,2 milhões de usuários. Na época, os cibercriminosos alegaram estar liberando apenas uma pequena parte das informações roubadas, e parecia que o novo anúncio poderia conter o restante dos detalhes roubados quatro anos atrás. Depois de revisar uma amostra do banco de dados recém-anunciado, no entanto, a Cimpanu percebeu que este é um novo hack.
Um cibercriminoso está vendendo 40 milhões de registros do Wishbone por US $ 8 mil
O vendedor apontou que o banco de dados foi obtido em 2020, e o repórter do ZDNet confirmou isso verificando os timestamps e revisando os dados de amostra em alguns serviços de notificação de violação, o que mostrou que é realmente muito recente. O número de indivíduos afetados fica em torno de 40 milhões, e os registros incluem nomes, nomes de usuários, endereços de email, números de telefone, localizações geográficas e senhas com hash. O vendedor está pedindo 0,85 bitcoins ou cerca de US $ 8 mil, o que significa que as contas têm um preço de US $ 0,0002 cada.
Os desenvolvedores do Wishbone ainda não divulgaram uma declaração oficial, mas o ZDNet confirmou que os dados são genuínos. É relativamente barato e é oferecido pelo que parece ser um trader experiente. A investigação de Catalin CImpanu revelou que o mesmo vendedor está oferecendo dezenas de bancos de dados roubados de todos os tipos de prestadores de serviços. No total, o repórter estimou que o cibercriminoso está na posse de 1,5 bilhão de registros roubados.
Provavelmente, o vendedor não terá problemas para mudar o banco de dados do Wishbone e, enquanto estiver contando os lucros, os usuários do aplicativo devem pensar nas possíveis consequências da violação.
Como a violação de dados do Wishbone afeta os usuários?
Embora nenhum dado financeiro esteja envolvido, há informações de identificação pessoal suficientes para facilitar todos os tipos de fraudes. Com os detalhes do contato, os hackers podem facilmente entrar em contato com possíveis alvos, e o restante dos dados pode ajudá-los a criar uma armadilha de engenharia social na qual as vítimas provavelmente cairão. Considerando o fato de que a grande maioria da base de usuários do Wishbone consiste das adolescentes, as ramificações da violação de dados são aterradoras.
Você poderia argumentar que a violação não deveria ter acontecido, mas, como dissemos no passado, nenhuma empresa está imune a ser atingida por ataques cibernéticos. O fato é que, embora o Wishbone já tenha passado por um incidente de segurança, seus desenvolvedores não parecem ter aprendido a lição.
No anúncio, o vendedor dos dados disse que as senhas foram hash com SHA1. Esse é um problema porque o SHA1 não é a função de hash mais robusta e pode ser revertida. Porém, quando Catalin Cimpanu analisou uma amostra das credenciais vazadas, ele percebeu que as senhas eram realmente hash com MD5 - um algoritmo que pode ser quebrado em segundos com ferramentas livremente acessíveis.
A ameaça para as contas Wishbone das pessoas é muito real e, se os usuários afetados estiverem reutilizando as mesmas senhas para vários serviços, os danos poderão ser ainda mais significativos.
