Segurança Cibernética

Os últimos 10 maiores vazamentos de dados

Martin Hron, 14 Fevereiro 2019

Nos últimos meses, houve muitos vazamentos de dados e, por isso, vamos contar apenas os 10 maiores para ajudar você a não ser a próxima vítima.

Ao fazer um balanço, é impossível não reconhecer os grandes vazamentos de dados que causaram tanto caos ao longo dos últimos meses. Os dados secretos e sigilosos de, literalmente, centenas de milhões de pessoas foram violados e expostos, depois reunidos em várias listas colocadas na darkweb para venda. Os vazamentos de dados são uma tendência assustadora no mundo do crime virtual que não mostra nenhum sinal de desaceleração num futuro próximo.

Se as suas informações foram comprometidas em um desses eventos infelizes, já falamos de como sobreviver a um vazamento de dados pessoais, mas há muitas recuperações desses estragos que se tornam um pesadelo. Por curiosidade mórbida, vamos examinar melhor os 10 principais vazamentos de dados dos últimos meses.

O que é interessante é que, embora alguns vazamentos de dados sejam ataques deliberados, outras são simplesmente bancos de dados deixados de lado, que os auditores de segurança encontram na web como verdadeiros cofres desprotegidos e desbloqueados. Nossa lista contém alguns deles. Em ordem decrescente, cada vazamento foi pior que o outro.

gRKGofzcQapwG8LHtyN07P2w9dHUBBkyDjOoTL2aYmkIE7p68nhEkJZJTqEg0lJtaXPwZCDjVZ5SjHCy66eOJ4Qe-j6MU2rxVIoDwaGsqgM0nrCQ0dcWURoeNpOHO8GVzrZo_tjM

Nº 10 – Panera

Número de vítimas: 37 milhões
Quem foi alvo: Todas contas de cliente do PaneraBread.com
Quais dados foram expostos: Nomes, endereços de email e físicos, datas de nascimento e os quatro últimos dígitos dos números de cartão de crédito dos clientes
Período: Revelado em abril de 2018
O que aconteceu: Apesar de ser avisado por um especialista em segurança cibernética em agosto de 2017 que o seu site estava vazando dados, a equipe de TI da Panera não agiu até 8 meses mais tarde, quando anunciou o vazamento e retirou o site para manutenção de segurança.

Nº 9 – Newegg

Número de vítimas: 50 milhões
Quem foi alvo: Compradores online da Newegg
Quais dados foram expostos: Informações de cartão de crédito
Período: 14/08/2018 – 18/09/2018
O que aconteceu: A loja online foi invadida pela gangue virtual Magecart, que injetou um código de skimming de cartão de crédito no site da Newegg. Sempre que um cliente comprava algo online, essas informações de pagamento iam direto para o servidor de comando e controle (C&C) da Magecart.

Nº 8 – Elasticsearch

Número de vítimas: 82 milhões (57 milhões de clientes, 26 milhões de empresas)
Quem foi alvo: Usuários e empresas online em toda a internet
Quais dados foram expostos: De pessoas físicas: nomes, endereços de email e físico, números de telefone, endereços IP, empregadores e cargos. De empresas: nomes, informações da empresa, CEPs, rotas de transportadores, latitudes/longitudes, traços de censo, números de telefone, endereços web, endereços de email, total de funcionários, números de receita, códigos NAICS, códigos SIC e muito mais.
Período: Descoberto em 14 de novembro de 2018
O que aconteceu: Esse é um desses casos que mencionamos acima em que uma auditoria de segurança normal levou um pesquisador a encontrar mais de 80 milhões de registros de dados sigilosos reunidos. Não se sabe quanto tempo os bancos de dados foram deixados desprotegidos e quem, se houve alguém, teve a oportunidade de copiar e roubar todos os dados. Os especialistas em segurança cibernética acreditam que rastrearam a fonte dos bancos de dados desprotegidos até uma empresa de gerenciamento de dados que, desde então, foi fechada, mas ainda é oficialmente desconhecido.

Nº 7 – Facebook

Número de vítimas: 87 milhões
Quem foi alvo: Usuários do Facebook
Quais dados foram expostos: Informações de perfil, crenças políticas, redes de amigos, mensagens privadas
Período: Revelado em setembro de 2018
O que aconteceu: Esse é o famoso escândalo da Cambridge Analytica, em que a empresa de coleta de dados coletou ilegalmente informações dos usuários sem permissão. A operação secreta foi motivada politicamente, por influência da campanha presidencial americana de 2016. Embora a vazamento tenha ocorrido há alguns anos, apenas esse ano as conclusões da investigação foram divulgadas, oferecendo um panorama mais claro do que aconteceu.

Nº 6 – MyHeritage

Número de vítimas: 92 milhões
Quem foi alvo: Usuários do MyHeritage
Quais dados foram expostos: endereços de email e senhas com hash
Período: Alertado em junho de 2018
O que aconteceu: Pesquisadores de segurança cibernética alertaram o site de genealogia em junho de 2018 que um servidor externo foi descoberto com informações sigilosas do MyHeritage. A empresa confirmou que as informações eram legítimas e alertou seus usuários que os titulares de conta que se inscreveram até 26 de outubro de 2017 estavam em risco e deveriam trocar de senha.

Nº 5 – Quora

Número de vítimas: 100 milhões
Quem foi alvo: Usuários do Quora
Quais dados foram expostos: Nomes, endereços de email, senhas com hash, dados de perfil, ações públicas e privadas
Período: Descoberto em 3 de dezembro de 2018
O que aconteceu: Muitas perguntas ainda não foram respondidas com os detalhes desse vazamento, mas o site de perguntas e respostas informou aos seus usuários que um terceiro obteve acesso não autorizado a um de seus sistemas, sem maiores explicações. 

Nº4 – Under Armour

Número de vítimas: 150 milhões
Quem foi alvo: Usuários do MyFitnessPal
Quais dados foram expostos: Nomes de usuário, endereços de email, senhas com hash
Período: Final de fevereiro de 2018
O que aconteceu: O aplicativo de alimentação e nutrição foi invadido, o que expôs  informações aos invasores, mas não, felizmente, informações de pagamento, que a empresa processa em um canal separado.

Nº 3 – Exactis

Número de vítimas: 340 milhões (230 milhões de clientes, 110 milhões de empresas)
Quem foi alvo: Usuários e empresas em toda a internet
Quais dados foram expostos: Mais de 400 categorias de informações, como números de telefone, endereços de email e físicos, interesses, idades, religiões, propriedade de animais de estimação, etc.
Período: Junho de 2018
O que aconteceu: A empresa de coleta de dados, Exactis, de alguma forma teve 2 terabytes de dados relocados a um site público, acessível a todos. Não se sabe quem ou quantas pessoas acessaram as informações antes que isso fosse descoberto.

Nº2 – Starwood

Número de vítimas: 500 milhões
Quem foi alvo: Convidados do Starwood
Quais dados foram expostos: Nomes, endereços de email e físicos, números de telefone, números de passaporte, informações de conta, datas de nascimento, gênero, informações de viagem e informações de acomodação. Algumas das informações violadas incluem também informações de cartão de crédito com hash.
Período: Descoberto em 10/09/2018, mas pode se estender até 2014
O que aconteceu: Como muitas outras declarações oficiais de vazamento, a cadeia de hotéis de propriedade da Marriott divulgou uma declaração de que os seus servidores sofreram um “acesso não autorizado”, mas descobertas recentes da investigação indicam que o vazamento pode ter sido causada pelo governo da China com fins políticos.

Nº 1 – Aadhaar

Número de vítimas: 1,1 bilhão
Quem foi alvo: Cidadãos indianos
Quais dados foram expostos: Números do Aadhaar, nomes, endereços de email e físicos, números de telefone e fotos
Período: Agosto de 2017 – janeiro de 2018
O que aconteceu: Vendedores anônimos no WhatsApp cobraram até menos de Rs 500 por um portal na Autoridade de Identificação Exclusiva da Índia, em que os registros de virtualmente todos os cidadãos estavam disponíveis a quem pagasse.

 

O que fazer se sua senha for roubada em um vazamento de dados

Se você acha que pode ter sido uma vítima de um desses incidentes ou de outros, faça imediatamente isso:

  • Troque toda e qualquer senha similar à senha violada (e pare de reutilizar senhas). Torne as suas credenciais de login invioláveis, seguindo as práticas recomendadas de senhas. Nunca envie códigos/tokens 2FA a ninguém.
  • Desconfie de SMS ou emails suspeitos que dizem ser do seu banco e empresa de seguros ou qualquer empresa desse tipo, pois imitações são muito comuns depois de vazamentos de dados.
  • Tenha cuidado ao fornecer dados que podem não ser necessários para a conta online que você criou (como o número de passaporte para reservar um quarto de hotel) e sempre monitore o Serasa para saber se houve roubo da sua identidade.

O futuro – Como se proteger em 2019

Devemos, a todo custo, evitar cair no marasmo de pensar “novo dia, novo vazamento de dados”, pois proteger suas informações pessoais é mais importante do que nunca. Se você já passou dados pessoais a uma empresa, seja online ou offline, sinto em dizer que você é um alvo potencial de crimes virtuais.

A dura realidade é que, qualquer cibercriminoso experiente, se trabalhar duro o bastante, eventualmente obterá acesso a uma organização desprotegida. Então, em vez de confiar cegamente nas políticas de privacidade das empresas, as pessoas precisam se educar e não confiar suas informações privadas a ninguém. Essas são algumas ações simples a realizar para evitar estar na categoria de “ilesos” de 2019.

Use um gerenciador de senhas

Não tem desculpa. Ferramentas do gerenciador de senha funcionam em seu computador, celular e tablet. Usá-las significa poder atribuir uma senha exclusiva e complexa a cada conta que você tenha, e precisar se lembrar de apenas uma. Isso garante que qualquer vazamento de dados que contenha suas credenciais não “vazará” para outras contas.

Lembre-se de que se você achar que suas informações foram violadas, é possível pesquisar seu endereço de email em um site de coleções de senhas roubadas, como o Avast Hack Check, e saber se a senha da sua conta vazou. Claro, é sempre melhor saber para poder fazer algo.

Sempre que possível, ative a autenticação de 2 fatores (2FA)

Ao ativar a autenticação de 2 fatores, mesmo se os invasores tiverem seu nome de usuário e senha, eles não poderão acessar sua conta.  Definitivamente, use 2FA em sua conta de email e em suas redes sociais.