Seus Dados Pessoais estão Entre os 620 Milhões de Contas que Foram Colocadas à Venda na Dark Web?

620 Million Records For Sale On The Dark Web

O que você precisa se quiser obter apenas 617 milhões de registros de contas roubadas de 16 sites diferentes? Nós temos uma resposta surpreendentemente específica. Você precisa de uma conexão com a Internet, cerca de US $16 mil em bitcoin e pouco menos de 43 GB de espaço livre no seu disco rígido.

Os dados estão à venda no Dream Market - um mercado da Dark Web que é acessível a qualquer pessoa com um navegador Tor. A revista on-line IT The Register foi a primeira a relatar os detalhes.

O que está em oferta?

Mais uma vez, a resposta é bem específica. Aqui está um resumo:

  • 161 milhões de registros foram roubados de um aplicativo de mensagens de vídeo chamado Dubsmash. Os registros incluem nomes de usuários, endereços de e-mail, IDs de usuários, países de residência dos usuários e senhas com hash SHA256.
  • Pouco menos de 15 milhões de registros roubados de 500px, uma comunidade de fotografia online. Os dados comprometidos incluem, entre outras coisas, nomes de usuários, endereços de e-mail, nomes e sobrenomes, datas de nascimento, hash sais e senhas que foram divididos com MD5, SHA512 ou bcrypt.
  • Um pouco mais de 22,3 milhões de registros retirados da EyeEm, uma outra plataforma online para fotógrafos. A maioria dos registros consiste em um endereço de e-mail e uma senha com hash SHA1.
  • Pouco menos de 20,2 milhões de registros extraídos do 8fit, um aplicativo de saúde e fitness. Os dados consistem em IPs, nomes, endereços de e-mail, tokens de autenticação do Facebook e informações de contas conectadas do Facebook, o país de residência de usuários individuais e senhas criptografadas.
  • 16 milhões de registros que pertencem ao Fotolog, outra rede social para fotógrafos. O dump contém nomes, perguntas e respostas de segurança, endereços de e-mail, senhas com hash SHA256 e outras informações de perfil.
  • Mais de 25 milhões de registros roubados da Animoto, uma plataforma para criação de vídeos. Os registros incluem nome e sobrenome, endereços de e-mail, países de residência, datas de nascimento, hash salt e senhas com hash SHA256.
  • Um pouco mais de 92 milhões de registros roubados do MyHeritage, uma plataforma de genealogia online. Os dados incluem as datas nas quais as contas comprometidas foram criadas, endereços de email, senhas com hash SHA1 e hash hash.
  • Um pouco mais de 151 milhões de registros roubados do MyFitnessPal, um aplicativo de fitness de propriedade da Under Armour. Cada registro consiste em um endereço IP, um ID de usuário, um nome de usuário, um endereço de e-mail, um salt que é fixo para a tabela inteira e uma senha com hash SHA1.
  • 1 milhão de registros roubados do Artsy, um hub on-line para colecionadores de arte. Os registros incluem nomes, e-mail e endereços IP, locais e senhas com hash SHA512 com salt.
  • 11 milhões de registros roubados da Armor Games, um site para jogos baseados no navegador. Os dados consistem em nomes de usuários, endereços de e-mail, datas de nascimento, senhas com hash SHA1 e salt, bem como outros detalhes do perfil.
  • 8 milhões de registros retirados do Bookmate, um serviço de assinatura de e-books. A maioria dos registros consiste em vários detalhes de perfil, nomes de usuário, endereços de e-mail e senhas com hash SHA512 com sais.
  • Pouco menos de 6,2 milhões de registros do CoffeeMeetsBagel, um site de namoro. A maioria dos registros contém nomes, endereços de e-mail, datas de registro, senhas com hash SHA256 e outros detalhes da conta.
  • 700 mil registros roubados do DataCamp, uma plataforma de educação on-line para pessoas que querem aprender sobre ciência de dados e programação. Os dados roubados consistem em endereços de e-mail, senhas criptografadas e outros detalhes do perfil.
  • 28 milhões de registros saqueados da HauteLook, uma empresa de comércio eletrônico que vende roupas e jóias. Os registros contêm nomes, endereços de e-mail e senhas criptografadas.
  • 41 milhões de registros extraídos do ShareThis, um widget para navegadores e plataformas de blogs que facilita o compartilhamento de conteúdo. Os dados contêm nomes, nomes de usuários, endereços de email, datas de nascimento e outras informações de perfil, bem como senhas com hash DES.
  • Pouco menos de 18 milhões de registros roubados da Whitepages, um diretório on-line de telefone e endereço. Os dados consistem em nomes e sobrenomes, endereços de e-mail e senhas que foram criptografados com SHA1 ou bcrypt.

A maioria dos bancos de dados foram, aparentemente, obtidos em 2018, e eles podem ser comprados individualmente a preços que variam de pouco menos de US $50 a cerca de US $2.000. O vendedor disse que alguém já comprou os dados do Dubsmash.

Ninguém sabia sobre a maioria das violações

falamos no passado sobre como alguns incidentes de hacking permanecem desconhecidos por anos a fio, e o grande volume de dados descritos acima prova muito bem esse ponto. De todos os fornecedores que foram violados, apenas MyFitnessPal , MyHeritage e Animoto divulgaram os dados que vazaram no ano passado. O resto não sabia sobre os incidentes ou os mantinha em sigilo deliberadamente.

Agora, tudo está vindo à luz. Logo após o relatório do The Register ser lançado na segunda-feira, 500px começaram a redefinir as senhas dos usuários e, desde então, o EyeEm e o DataCamp também começaram a notificar os proprietários da conta afetada. Quando contatados pelo The Registe, alguns dos fornecedores disseram que precisam de mais tempo para investigar antes de poderem fazer um anúncio público.

O sonho de um stuffer de credencial

Espero que todas as partes afetadas façam o que precisam fazer mais cedo ou mais tarde, porque há pouca dúvida na mente de qualquer pessoa de que os dados são válidos e podem ser usados. Os nomes de usuários e senhas são perfeitos para ataques de preenchimento de credenciais, em parte porque há muitos deles e, em parte, porque são relativamente novos. As coleções vazadas que recentemente fizeram algumas manchetes atraíram muita atenção por causa do grande volume de dados que elas continham. Como os nomes de usuários e senhas desses dados foram roubados anos atrás, muitos deles são inúteis. Com essas violações mais recentes, as chances de extrair credenciais válidas são muito mais significativas.

Isso se deve em parte aos hábitos de armazenamento de senhas dos fornecedores. Como você pode ver, nenhum deles armazenou senhas em texto simples, o que é bom. Muitos usaram algoritmos de hashing fracos, no entanto, o que não é tão bom.

O MD5 e o SHA1 podem ser quebrados com relativa facilidade, e algoritmos ainda mais complexos, como o SHA256, podem se mostrar vulneráveis, especialmente se a implementação não for perfeita ou se a senha for fraca. Em teoria, as pessoas cujas senhas foram criptografadas com o bcrypt devem ser seguras, mas até mesmo os fornecedores que escolheram o algoritmo certo estão instando os usuários a mudarem suas senhas.

O preço dos dados pessoais vendidos na Dark Web

Às vezes, grandes quantidades de informações pessoais podem ser encontradas em um fórum público da Internet que pode ser acessado pelo Google. Como você pode ver, em outros casos, os dados são vendidos na Dark Web.

Não é exatamente caro, no entanto. Alguns dos registros nesses bancos de dados contêm muitas informações pessoais e, no entanto, o preço médio de um único registro é de US $0,00002. Pense nisso da próxima vez que você se inscrever para um novo serviço.

February 19, 2019

Deixe uma Resposta