Circulam rumores sobre bilhões de registros de usuários do Clubhouse e do Facebook sendo vendidos na dark web. Mas isso realmente está acontecendo?
Vários relatos de que 3,8 bilhões de registros de usuários do Clubhouse e do Facebook estão à venda na dark web estão causando muita preocupação e confusão. No momento, é muito cedo para dizer se esses dados são legítimos ou não.
No entanto, independentemente da veracidade dessas informações, este é um lembrete de que há um relato verificado de 1,3 milhão de dados dos usuários do Clubhouse que foram vazados e tornados públicos em abril de 2021. Também é verdade que meio bilhão de registros de usuários do Facebook e outro meio bilhão do LinkedIn dessa mesma época também vazaram (literalmente, foram raspados, scraped em inglês). Essas informações permanecem públicas e podem ser usadas por invasores. Elas também podem ser combinadas para criar perfis mais completos que os invasores podem usar para enviar spam, golpes de phishing e invasões de conta.
Esses fatos por si só já devem ser suficientes para alertar você a se proteger melhor desses vazamentos de dados, caso ainda não o tenha feito. Aqui está o que você pode fazer para se proteger.
Deixando claro o que são os rumores de extração de dados
Esta última reivindicação parece se basear em duas outras que atingiram o Clubhouse, uma em abril de 2021 e outra em julho de 2021. A reivindicação de abril de 2021 foi confirmada; a de julho de 2021 aparentemente não é verdadeira.
Em abril de 2021, dados de 1,3 milhão de usuários do Clubhouse* foram tornados públicos. O Clubhouse não negou que esses dados eram genuínos*, mas disse na altura que não eram o resultado de uma invasão, mas sim da “coleta” (scraping) de informações públicas. Já escrevemos como funciona a coleta de dados* e como está no cerne não apenas do vazamento de dados do Clubhouse, mas também de vazamentos de dados mais ou menos contemporâneos, afetando meio bilhão de usuários do Facebook* e meio bilhão de usuários do LinkedIn*.
Onde as coisas ficam mais sombrias é uma afirmação feita em julho de 2021 de que 3,8 bilhões de números de telefone de usuários do Clubhouse estavam à venda* na dark web. Essa alegação foi rejeitada na época por pesquisadores de segurança* que analisaram os dados e declararam que as alegações eram falsas e eram o resultado do marketing daqueles que tentavam vender esses dados. Este vazamento mais recente parece ser o resultado de alguém pegando os dados da declaração de julho de 2021 e dizendo que os dados foram combinados com os que vieram do vazamento de dados do Facebook de abril de 2021. Esses dados combinados estão sendo colocados à venda na dark web, de maneira muito semelhante aos dados desacreditados de julho de 2021.
Mais importante ainda, esta reclamação mais recente não foi verificada de forma independente e não podemos confirmar se é legítima ou não. O fato de se basear em dados previamente declarados por especialistas como falsos lança dúvidas sobre a veracidade da afirmação. O fato de que esses dados estão à venda em fóruns da dark web, aonde vimos anteriormente alegações excessivamente inflacionadas em relação aos mesmos dados do Clubhouse nos quais eles supostamente se baseiam, é motivo para suspeitas ainda maiores.
O que isso significa?
De maneira geral, isso significa que não podemos ter certeza se as afirmações atuais são verdadeiras ou não no momento.
Isso também significa que os dados públicos legítimos de abril de 2021 retirados do Clubhouse, Facebook e LinkedIn ainda estão por aí e podem ser combinados para formar um único conjunto de dados como este, tornando a reivindicação mais plausível. No entanto, no máximo, esses dados combinados totalizariam mais de 1 bilhão de registros (1.300.000 Clubhouse + 500.000.000 Facebook + 500.000.000 LinkedIn), não os 3,8 bilhões que estão sendo reivindicados agora.
Mesmo que a afirmação atual seja falsa, ainda há muitos dados do usuário que estão por aí, dados que podem ser combinados para formar perfis mais completos para os invasores. (Supondo que isso ainda não tenha acontecido e apenas não tenhamos ouvido falar sobre isso ainda.)
Isso significa que, mesmo que a declaração recente de 3,8 bilhões de dados de usuários do Clubhouse e do Facebook seja falsa, já existem dados conhecidos que continuam a representar o mesmo risco para os usuários que apresentavam quando vazaram em abril de 2021: um risco maior de golpes por e-mail e SMS, ataques de spam e phishing e ataques de invasão de contas.
Com esses dados, os invasores podem ter como alvo qualquer tipo de conta, mas os mais preocupantes seriam contas de e-mail e contas financeiras, como bancos. Em particular, se os invasores puderem emparelhar um número de telefone celular com uma pessoa específica, eles podem tentar realizar ataques de troca de chip* que podem ser usados para driblar a autenticação de dois fatores que protege contas de e-mail e bancárias.
O que você deve fazer para se proteger contra a extração de dados
Em primeiro lugar, como observamos em nosso blog sobre os vazamentos por extração de dados do Clubhouse, Facebook e LinkedIn, lembre-se de que as informações que são públicas, mesmo que estejam em um site de mídia social, são públicas e podem ser copiadas para serem coletadas, agrupadas e compilados em grandes bancos de dados que podem ser vendidos na dark web. Portanto, todos devem considerar a definição de seus perfis como “não públicos” ou ter muito, muito cuidado com as informações compartilhadas publicamente.
Em segundo lugar, como observamos em nosso blog sobre troca de chip*, sempre que possível, você pode se proteger contra esses golpes com aplicativos de autenticação em vez de tokens enviados por SMS.
Em terceiro lugar, você pode se proteger melhor contra golpes de troca de chip* se a sua operadora permitir algum tipo de bloqueio quando o chip é trocado. Nem todas as operadoras têm essa opção, mas se a sua operadora oferecer, você deve utilizá-la.
Finalmente, a principal conclusão é que quer haja 3,8 bilhões de registros de usuários reais do Clubhouse e do Facebook para venda ou não, sabemos que existem dados de 2 bilhões de usuários do Clubhouse, Facebook e LinkedIn desde abril de 2021. Se você não tomou medidas para se proteger melhor contra aqueles vazamentos de dados legítimos e conhecidos, agora é a hora de fazer isso. E qualquer coisa que você fizer para se proteger contra esses vazamentos de dados legítimos ajudará automaticamente a protegê-lo se os atuais rumores forem verdadeiros.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.