Tecnologia

13 de fevereiro de 2019 10:11

Dados de 620 milhões de contas são vendidos

Pacote contém 16 sites negociados com submundo da web por R$ 75 mil em criptomoedas

O site de tecnologia britânico “The Register” revelou a existência de um novo pacote de dados vazados que já está sendo comercializado no submundo da web. O pacote inteiro sai por cerca de 20 mil dólares (aproximadamente R$ 75 mil) – um preço alto para esse tipo de informação. No entanto, alguns dos sites envolvidos confirmaram o vazamento recente de suas informações, o que significa que hackers podem estar dispostos a pagar por dados mais novos.

A reportagem do “The Register” teve acesso a trechos dos dados vazados e confirmou que as informações parecem legítimas.

Os sites envolvidos são Dubsmash (162 milhões de contas), MyFitnessPal (151 milhões), MyHeritage (92 milhões), ShareThis (41 milhões), HauteLook (28 milhões), Animoto (25 milhões), EyeEm (22 milhões), 8fit (20 milhões), Whitepages (18 milhões), Fotolog (16 milhões), 500px (15 milhões), Armor Games (11 milhões), BookMate (8 milhões), CoffeeMeetsBagel (6 milhões), Artsy (1 milhões) e DataCamp (700 mil).

Cada registro inclui o endereço de e-mail, o nome e a senha codificada por algoritmo de hash. O hash é uma função de via única (ela não pode ser “decifrada”). Porém, com tentativa e erro, os hackers podem descobrir as senhas que geraram aquele hash.

Algumas tecnologias de hash são mais frágeis que outras — certos registros do site de fotografia 500px, por exemplo, ainda estão usando a tecnologia MD5, que é considerada obsoleta. A mesma tecnologia era usada no vazamento do LinkedIn, em 2012.

O armazenamento da senha em formato de hash aumenta a segurança e é considerado uma prática adequada, desde que a tecnologia empregada também esteja entre as recomendadas.

A presença do hash é ainda um forte indício de que esses dados foram obtidos por meio de invasões aos próprios serviços e não por outros meios, como páginas clonadas e programas espiões instalados nos computadores de internautas. Nesses casos, as senhas já estariam em seu formato original, e não convertidas.

Os dados foram ofertados no Dream Market, um mercado negro acessível somente pela rede anônima Tor. O pagamento deve ser feito em Bitcoin.

Dados inéditos

Diferentemente dos 2,2 bilhões de credenciais presentes nos pacotes de senha das Coleções 1 a 5, que incluíam principalmente dados de invasões antigas e vazamentos anteriores, o pacote encontrado pelo “The Register” parece trazer informações de vazamentos recentes que ainda estão sendo investigados pelos sites.

O vazamento do MyHeritage já havia sido revelado pelo próprio site em junho de 2018. O Animoto alertou seus usuários em agosto e o MyFitnessPal também publicou um alerta de vazamento de dados em março do ano passado.

Dubsmash e o 500px confirmaram agora que dados foram obtidos de seus servidores — no caso do Dubsmash, a invasão teria ocorrido há apenas dois meses, em dezembro de 2018. O 8fit, o CoffeeMeetsBagel e o DataCamp disseram que vão investigar se um vazamento teria ou não ocorrido.

Fonte: Tribuna Independente

Comentários

MAIS NO TH