Os cinco maiores vazamentos de dados da última década
15 de Setembro de 2023

Dez anos após a maior violação de dados do Yahoo! em 2013, a ESET analisa os incidentes de violação de dados mais impactantes.

O levantamento examina desde o incidente da Equifax, que afetou quase metade da população dos Estados Unidos, parte da Grã-Bretanha e Canadá, passando pelo vazamento de mais de 1 bilhão de dados de cidadãos da Índia, até o maior roubo de informações vendidas em coleções que totalizaram mais de dois bilhões de registros.

A violação do Yahoo! entrou para a história por ter sido a mais importante dos últimos dez anos.

No início, a empresa havia reconhecido que 1 bilhão de contas foram afetadas, mas quatro anos depois, em 2017, quando a Verizon adquiriu a empresa e realizou uma investigação com especialistas forenses externos, a real dimensão do ataque cibernético pôde ser tomada: a Oath, unidade de internet da Verizon, reconheceu que o número de usuários afetados era de mais 3 bilhões.

Na época, além de enviar e-mails para notificar os “novos” afetados, publicou em seu site informações adicionais sobre a violação.

O diretor de segurança da informação do Yahoo!, Bob Lord, disse que o vazamento incluiu nomes de usuários, endereços de e-mail, números de telefone, datas de nascimento, senhas com hash e, em alguns casos, perguntas de segurança e suas respostas.

A “boa notícia” é que os cibercriminosos não tiveram acesso a dados bancários ou de pagamentos, já que o sistema comprometido não hospedava esse tipo de informação.

Em 2018 foi a vez da rede de hotéis Marriott International ganhar as manchetes em por algo que começou a tomar forma quatro anos antes e que envolveria quase 400 milhões de registros comprometidos: em 30 de novembro daquele ano, o Marriott emitiu um comunicado no qual afirmou ter recebido “um alerta de uma ferramenta de segurança interna sobre uma tentativa de acessar o banco de dados de reservas de hóspedes da Starwood nos Estados Unidos”.

Durante a investigação, soube-se que “havia acesso não autorizado à rede desde 2014”. Nada menos que 383 milhões de registros foram comprometidos e incluíam nomes de clientes, números de telefone, detalhes de passaporte, endereços de e-mail e até números de cartão de crédito criptografados.

De acordo com o The New York Times, o ataque pode ser atribuído a um grupo de inteligência chinês, cujo principal objetivo era coletar dados de cidadãos americanos.

A equipe de pesquisa que trabalhou a partir de um alerta feito em 8 de setembro de 2018 disse que os cibercriminosos usavam um trojan de acesso remoto e uma ferramenta que encontra combinações de nomes de usuário e senhas na memória do sistema.

Um ano antes, em setembro de 2017, a Equifax, um dos maiores birôs de crédito dos EUA anunciou que havia sofrido uma violação envolvendo dados de aproximadamente 143 milhões de pessoas, ou seja, 44% da população americana.

Clientes no Reino Unido e Canadá também foram afetados.

Entre as informações que os cibercriminosos conseguiram acessar estavam nomes de clientes, CPF, datas de nascimento, endereços, números de carteira de motorista e também números de cartão de crédito.

Segundo a própria Equifax, o vazamento ocorreu devido a uma vulnerabilidade em um aplicativo web para acessar determinados arquivos”.

A Bloomberg disse que o vazamento foi possível por causa de um patch intempestivo que estava disponível dois meses antes do ataque.

As consequências não demoraram a chegar: Richard Smith, CEO da Equifax na época, deixou a empresa, que teve de enfrentar processos de usuários e investigações de órgãos reguladores nos EUA, Reino Unido e Canadá, e suas ações no mercado de ações também caíram.

Durante janeiro de 2018, a violação a uma base de dados do governo da Índia expôs informações pessoais de 1,2 bilhão de indianos, que foram colocadas à venda na internet.

Os dados davam acesso ao número Aadhaar, uma espécie de código de identificação de cada cidadão indiano. 

Os hackers conseguiram violar a base de dados por meio do site da Indane, uma empresa estatal de serviços públicos que estava conectada ao banco de dados do governo por meio de uma interface, com o objetivo de recuperar dados armazenados por outros aplicativos ou softwares.

A Indane não tinha os controles de acesso correspondentes e, portanto, expunha os dados da empresa e de todos os usuários que tinham um cartão Aadhaar.

Tornou-se uma das maiores violações de dados governamentais da história: a grande maioria da população da Índia (cerca de 90%) estava exposta a ser uma vítima potencial de crimes como roubo de identidade e outros golpes. 

Uma investigação realizada pelo jornal indiano Tribune mostrou que por 500 rúpias (algo como US$ 6) era possível acessar esses dados por meio de um grupo de hackers que os oferecia pelo WhatsApp.

Em 2019, um dos ataques mais rumorosos foi o da Coleção #1 a #5, composta por uma coleção de dados que foram extraídos de várias violações antigas.

Entre as cinco entregas que essa “saga” teve, conseguiu exfiltrar 2,2 bilhões de endereços de e-mail e senhas.

Tudo começou em meados de janeiro daquele ano, quando se soube que 773 milhões de endereços de e-mail únicos e também mais de 20 milhões de senhas haviam vazado através do Mega e outros fóruns, através de um pacote chamado Collection #1.

No final daquele mês, foram lançadas quatro novas pastas que faziam parte do mesmo acervo.

A Coleção #2, a Coleção #3, a Coleção #4, a Coleção #5 também incluíram, entre outros dados, nomes de usuário, endereços e senhas, atingindo um peso total de 993,36 GB.

O Instituto alemão Hasso Platter conduziu uma investigação sobre o vazamento, dizendo que o combo completo das cinco pastas totalizou 2,2 bilhões de registros.

Aliás, em alguns fóruns foi oferecido o pacote completo, com o detalhamento do peso de cada pasta.

“Os vazamentos de dados costumam ser mais comuns e frequentes do que gostaríamos.

Portanto, é muito importante que, como usuários, saibamos se nossos dados foram vazados de alguma forma, a fim de evitar que sejam usados para fins maliciosos.

Sites como o Have I Been Pwned, Indentity Leak Checker e HackNotice são alguns dos que informam se uma senha vazou.

O próximo passo é atualizar as chaves, escolhendo senhas novas e mais seguras, evitando reutilizar a mesma senha em mais de um serviço.

Outra prática muito boa é ativar autenticação de dois fatores em todos os serviços que a têm disponível”, aconselha Camilo Gutiérrez Amaya, chefe do laboratório de pesquisa da ESET América Latina.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...