O serviço de alerta de violação de dados Have I Been Pwned (HIBP) advertiu que a SurveyLama sofreu um vazamento de dados em fevereiro de 2024, que expôs os dados sensíveis de 4,4 milhões de usuários.
SurveyLama é uma plataforma online que recompensa usuários registrados por completarem pesquisas.
Propriedade da firma francesa Globe Media, a plataforma é elogiada por seus altos pagamentos (até $20), pagamentos rápidos e múltiplas opções de saque.
No início de fevereiro, o criador do HIBP, Troy Hunt, recebeu informações sobre uma violação de dados impactando o serviço, envolvendo vários tipos de dados, incluindo:
- Datas de nascimento
- Endereços de email
- Endereços IP
- Nomes completos
- Senhas
- Números de telefone
- Endereços físicos
Hunt disse ao BleepingComputer que foi notificado da exposição por um dos usuários impactados e verificou independentemente os dados.
Quando contatada pelo HIBP questionando sobre a autenticidade dos dados, a SurveyLama disse que já havia notificado os usuários impactados por email, confirmando o incidente de segurança.
O conjunto de dados contém informações sobre 4.426.879 contas e foi adicionado ao HIBP ontem, então os usuários impactados já deveriam ter recebido uma notificação por email.
A plataforma disse que as senhas expostas estavam armazenadas em hashes de SHA-1 salgado, bcrypt ou argon2, portanto, não estão em forma de texto claro diretamente utilizável.
Embora o hashing adicione alguma resistência à quebra, não é impermeável ao brute-forcing, especialmente as senhas protegidas com SHA-1 salgado, que apresenta vulnerabilidades conhecidas, tornando-o suscetível a ataques de colisão.
Dito isso, os titulares de contas da SurveyLama devem redefinir suas senhas no serviço imediatamente e em outras plataformas onde possam usar as mesmas credenciais.
Hunt disse ao BleepingComputer que não estava ciente de que os dados comprometidos haviam sido postados publicamente, o que limita a exposição no momento.
Entretanto, se o conjunto de dados cair em mãos erradas, poderia ser explorado privadamente e, eventualmente, vazado para a comunidade cibercriminosa mais ampla, portanto, os usuários devem tomar medidas de proteção o mais rápido possível.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...