Vazamento de Dados da SurveyLama Expõe Informações de 4,4 Milhões de Usuários
4 de Abril de 2024

O serviço de alerta de violação de dados Have I Been Pwned (HIBP) advertiu que a SurveyLama sofreu um vazamento de dados em fevereiro de 2024, que expôs os dados sensíveis de 4,4 milhões de usuários.

SurveyLama é uma plataforma online que recompensa usuários registrados por completarem pesquisas.

Propriedade da firma francesa Globe Media, a plataforma é elogiada por seus altos pagamentos (até $20), pagamentos rápidos e múltiplas opções de saque.

No início de fevereiro, o criador do HIBP, Troy Hunt, recebeu informações sobre uma violação de dados impactando o serviço, envolvendo vários tipos de dados, incluindo:

- Datas de nascimento
- Endereços de email
- Endereços IP
- Nomes completos
- Senhas
- Números de telefone
- Endereços físicos

Hunt disse ao BleepingComputer que foi notificado da exposição por um dos usuários impactados e verificou independentemente os dados.

Quando contatada pelo HIBP questionando sobre a autenticidade dos dados, a SurveyLama disse que já havia notificado os usuários impactados por email, confirmando o incidente de segurança.

O conjunto de dados contém informações sobre 4.426.879 contas e foi adicionado ao HIBP ontem, então os usuários impactados já deveriam ter recebido uma notificação por email.

A plataforma disse que as senhas expostas estavam armazenadas em hashes de SHA-1 salgado, bcrypt ou argon2, portanto, não estão em forma de texto claro diretamente utilizável.

Embora o hashing adicione alguma resistência à quebra, não é impermeável ao brute-forcing, especialmente as senhas protegidas com SHA-1 salgado, que apresenta vulnerabilidades conhecidas, tornando-o suscetível a ataques de colisão.

Dito isso, os titulares de contas da SurveyLama devem redefinir suas senhas no serviço imediatamente e em outras plataformas onde possam usar as mesmas credenciais.

Hunt disse ao BleepingComputer que não estava ciente de que os dados comprometidos haviam sido postados publicamente, o que limita a exposição no momento.

Entretanto, se o conjunto de dados cair em mãos erradas, poderia ser explorado privadamente e, eventualmente, vazado para a comunidade cibercriminosa mais ampla, portanto, os usuários devem tomar medidas de proteção o mais rápido possível.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...