Usuários Quidd são avisados de que 4 milhões de detalhes de login foram vazados em um fórum subterrâneo
Assim como qualquer outro negócio, o comércio de dados roubados é impactado por vários fatores diferentes. Muitas pessoas diferentes compõem a cadeia de suprimentos e todos têm um papel específico. A natureza dos dados e sua fonte decidem quão alta é a demanda e, com base nela, o preço pedido é formado. Uma recente violação de dados descoberta pelo RiskBased Security e relatada pelo ZDNet pode fornecer uma boa visão de como as coisas funcionam.
Índice
Quidd sofreu uma violação de dados
A descoberta foi feita em 12 de março, quando pesquisadores da RiskBased Security viram uma postagem em um fórum de hackers de um usuário apelidado de ProTag. A ProTag estava oferecendo um banco de dados contendo os endereços de email, nomes de usuário e senhas com hash de pouco menos de 4 milhões de usuários de uma plataforma de negociação de colecionáveis digitais chamada Quidd.
De acordo com a investigação do ZDNet, o ProTag é o hacker que realmente rompeu as defesas de Quidd e roubou os dados em 2019. O post de 12 de março foi incomum porque, normalmente, o hacker não é quem distribui os dados. Normalmente, esse é o trabalho dos chamados comerciantes, que também recebem uma parte do lucro sempre que criminosos e cibercriminosos iniciantes decidem desembolsar alguns nomes de usuário e senhas roubados.
Um desses comerciantes disse ao ZDNet que o banco de dados Quidd foi negociado muito antes da ProTag publicá-lo no fórum de hackers. Aparentemente, os dados estavam mudando de mãos nas transações negociadas em particular. Ainda não se sabe se isso tem algo a ver com isso, mas a publicação da ProTag não ficou online por muito tempo. Logo depois que o RiskBased Security o viu, ele foi excluído.
No final de março, o anúncio foi postado novamente no mesmo fórum por um indivíduo diferente e, desde então, o banco de dados foi compartilhado e compartilhado novamente várias vezes. Devemos observar que estamos falando de um fórum acessível ao público e também devemos salientar que os detalhes da conta Quidd são oferecidos gratuitamente, o que significa que qualquer pessoa com uma conexão à Internet pode iniciar seu navegador favorito e fazer o download deles. Mas eles vão?
Um forte algoritmo de hash dificulta a vida dos fraudadores
Uma das primeiras coisas que precisamos aprender no caso de vazamento de senha é como as credenciais de login foram armazenadas. Apesar dos inúmeros avisos, alguns provedores de serviços continuam cometendo erros básicos no armazenamento de senhas e, como resultado, as pessoas que compram detalhes de login na dark web podem comprometer facilmente um grande número de contas e podem realizar seus golpes através deles. Felizmente, Quidd não é um desses fornecedores.
As senhas foram hash com bcrypt - um dos algoritmos de hash mais difíceis de decifrar. A transformação de hashes de bcrypt de volta em senhas de texto não criptografado é um processo extremamente demorado e com muitos recursos, e geralmente os cibercriminosos decidem que o esforço não vale a pena. Não neste caso, no entanto.
Como a RiskBased Security apontou, os usuários de Quidd trocam milhões de dólares em colecionáveis digitais e, aparentemente, os bandidos vêem isso como um incentivo grande o suficiente. Muitos deles tentaram quebrar os hashes, e parece que alguns já conseguiram. Uma das capturas de tela do ZDNet mostra que um hacker está oferecendo cerca de 137 mil nomes de usuário e pares de senhas Quidd em texto sem formatação e, de acordo com a RiskBased Security, outro trader afirma ter quebrado mais de 1 milhão de hashes. Obviamente, uma vez que passaram pelo problema de descompactar os dados, esses vendedores não os entregam de graça.
Quidd ainda está quieto
Agora que os dados estão em domínio público, Quidd não pode fazer muito para impedir que os cibercriminosos os compartilhem entre si. No entanto, ele pode informar seus usuários sobre o incidente e tomar medidas para mitigar as possíveis consequências. Por alguma razão, parece não estar fazendo nenhuma dessas coisas.
Não há nenhuma declaração oficial da plataforma e os usuários potencialmente afetados não estão recebendo nenhuma notificação. O RiskBased Security e o ZDNet escreveram para Quidd com pedidos de comentários, mas a plataforma preferiu não responder. Dado o fato de que algumas das credenciais de logon são negociadas em texto sem formatação, uma redefinição forçada de senha para usuários afetados parece uma boa ligação, mas Quidd também não fez isso.
Como você pode ver, nem mesmo o armazenamento adequado de senhas é suficiente para impedir determinados criminosos cibernéticos, o que significa que o comportamento adequado após uma violação de dados se torna ainda mais importante para os provedores de serviços afetados. Infelizmente, parece que as pessoas encarregadas de Quidd não entendem isso.
