O site Have I Been Pwned adicionou 71 milhões de emails da lista de contas roubadas da Naz.API
18 de Janeiro de 2024

O Have I Been Pwned adicionou quase 71 milhões de endereços de email associados a contas roubadas no conjunto de dados Naz.API ao seu serviço de notificação de violação de dados.

O conjunto de dados Naz.API é uma coleção massiva de 1 bilhão de credenciais compiladas usando listas de credenciais roubadas e dados roubados por malwares de roubo de informações.

Listas de preenchimento de credenciais são coleções de pares de nome de usuário e senha roubados de violações de dados anteriores que são usados para violar contas em outros sites.

Os malwares de roubo de informações tentam roubar uma grande variedade de dados de um computador infectado, incluindo credenciais salvas em navegadores, clientes VPN e clientes FTP.

Esse tipo de malware também tenta roubar chaves SSH, cartões de crédito, cookies, históricos de navegação e carteiras de criptomoedas.

Os dados roubados são coletados em arquivos de texto e imagens, que são armazenados em arquivos chamados "logs".

Esses logs são então enviados para um servidor remoto para serem coletados posteriormente pelo invasor.

Independentemente de como as credenciais são roubadas, elas são então usadas para violar contas pertencentes à vítima, vendidas a outros atores de ameaças em mercados de cibercriminosos, ou liberadas gratuitamente em fóruns de hackers para ganhar reputação entre a comunidade de hackers.

O Naz.API é um conjunto de dados que supostamente contém mais de 1 bilhão de linhas de credenciais roubadas compiladas a partir de listas de preenchimento de credenciais e de logs de malwares de roubo de informações.

Deve-se notar que, embora o nome do conjunto de dados Naz.API inclua a palavra "Naz", ele não está relacionado a dispositivos de armazenamento conectados à rede (NAS).

Este conjunto de dados tem circulado na comunidade de violação de dados há algum tempo, mas ganhou notoriedade depois que foi usado para alimentar uma plataforma de inteligência de código aberto (OSINT) chamada illicit.services.

Este serviço permite que os visitantes pesquisem um banco de dados de informações roubadas, incluindo nomes, números de telefone, endereços de email e outros dados pessoais.

O serviço foi encerrado em julho de 2023 por preocupações de que estava sendo usado para ataques de Doxxing e SIM-swapping.

No entanto, o operador reativou o serviço em setembro.

Illicit.services usa dados de várias fontes, mas uma de suas maiores fontes de dados veio do conjunto de dados Naz.API, que foi compartilhado privadamente entre um pequeno número de pessoas.

Cada linha nos dados do Naz.API consiste em uma URL de login, seu nome de usuário e uma senha associada roubada do dispositivo de uma pessoa, conforme mostrado abaixo.

Hoje, Troy Hunt, o criador do Have I Been Pwned, anunciou que adicionou o conjunto de dados Naz.API ao seu serviço de notificação de violação de dados depois de recebê-lo de uma empresa de tecnologia bem conhecida.

"Aqui está a história: nesta semana fui contatado por uma empresa de tecnologia bem conhecida que recebeu uma submissão de recompensa por bugs baseada em uma lista de preenchimento de credenciais postada em um fórum de hackers popular", explicou um post de blog por Hunt.

"Embora esta postagem seja de quase 4 meses atrás, só agora ela veio ao meu radar e inevitavelmente, também não havia sido enviada para a empresa de tecnologia mencionada."

"Eles levaram a sério o suficiente para tomar medidas apropriadas contra sua base de usuários (muito grande), o que me deu motivo suficiente para investigar isso mais do que sua lista média de preenchimento de credenciais."

De acordo com Hunt, o conjunto de dados Naz.API consiste em 319 arquivos totalizando 104GB e contendo 70.840.771 endereços de e-mail únicos.

No entanto, embora existam perto de 71 milhões de e-mails únicos, para cada endereço de e-mail, provavelmente existem muitos outros registros para as credenciais de diferentes sites que foram roubadas.

Hunt diz que os dados do Naz.API provavelmente são antigos, pois continham uma de suas senhas e de outros assinantes do HIBP que foram usadas no passado.

Hunt diz que sua senha foi usada em 2011, o que significa que alguns dos dados têm mais de 13 anos.

Para verificar se suas credenciais estão no conjunto de dados Naz.API, você pode realizar uma pesquisa no Have I Been Pwned.

Se o seu e-mail for encontrado associado ao Naz.API, o site irá avisá-lo, indicando que o seu computador foi infectado com um malware de roubo de informações em algum momento.

Infelizmente, mesmo que o HIBP avise que seu e-mail estava no Naz.API, ele não informa de qual site específico as credenciais foram roubadas.

Como este conjunto de dados está parcialmente ligado a malwares de roubo de informações, é recomendável alterar as senhas de todas as suas contas salvas.

Isso inclui senhas para VPNs corporativas, contas de e-mail, contas bancárias e qualquer outra conta pessoal.

Além disso, como os ladrões de informações tentam roubar carteiras de criptomoedas, você deve transferir imediatamente qualquer cripto para outra carteira se possuir alguma.

Para obter mais informações detalhadas sobre quais contas foram expostas, você pode tentar o site Illicit.Services, que atualmente está sobrecarregado com todos tentando usá-lo.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...