Descobertas exclusivas da Cybernews de 18 de junho, vem sendo constantemente atualizada com esclarecimentos e informações adicionais por conta do debate público. A versão mais recente do artigo traz comentários do pesquisador da Cybernews, Aras Nazarovas, e de Bob Diachenko, que revelaram este recente vazamento de dados.
Entre as conclusões estão:
- Os registros estão espalhados por 30 bancos de dados diferentes e alguns registros estão ou podem estar sobrepostos
- Os dados provavelmente vêm de vários infostealers
- Os dados são recentes e não meramente reciclados de violações antigas
- Os cibercriminosos têm acesso sem precedentes às credenciais pessoais e podem explorá-las para apropriação indébita de contas, roubo de identidade e ataques de phishing direcionados.
A equipe da Cybernews monitora a internet desde o início do ano e descobriu 30 conjuntos de dados expostos, contendo de dezenas de milhões a mais de 3,5 bilhões de registros cada. No total, os pesquisadores descobriram o número de 16 bilhões de registros.
Nenhum dos conjuntos de dados expostos havia sido relatado anteriormente, exceto um: no final de maio, a revista Wired noticiou que um pesquisador de segurança descobriu um “banco de dados misterioso” com 184 milhões de registros. Os pesquisadores afirmam que novos conjuntos de dados massivos surgem a cada poucas semanas, sinalizando a real prevalência do malware infostealer.
Segundo os pesquisadores, isso não parece apenas um vazamento, mas um plano para exploração em massa. Com mais de 16 bilhões de registros de login expostos, os cibercriminosos agora têm acesso sem precedentes a credenciais pessoais que podem ser usadas para sequestro de contas, roubo de identidade e phishing altamente direcionado. O que é especialmente preocupante é a estrutura e a atualidade desses conjuntos de dados; trata-se de inteligência nova e armamentável em escala.
Os pesquisadores afirmam que a maioria dos dados vazados é uma mistura de detalhes de malware ladrão, conjuntos de preenchimento de credenciais e vazamentos reempacotados. Não havia como comparar efetivamente os dados entre diferentes conjuntos de dados, mas é seguro afirmar que há registros sobrepostos. Em outras palavras, é impossível dizer quantas pessoas ou contas foram realmente expostas.
No entanto, as informações que a equipe conseguiu reunir revelaram que a maioria das informações seguia uma estrutura clara: URL, seguida de detalhes de login e uma senha. A maioria dos infostealers modernos – softwares maliciosos que roubam informações confidenciais – coleta dados exatamente dessa maneira.
As informações contidas nos conjuntos de dados vazados abrem portas para praticamente qualquer serviço online imaginável, desde Apple, Facebook e Google até GitHub, Telegram e diversos serviços governamentais.
Bob Diachenko, colaborador da Cybernews, pesquisador de segurança cibernética e proprietário do SecurityDiscovery.com, está por trás dessa recente descoberta e afirma que não houve nenhuma violação centralizada de dados do Facebook, Google ou Apple. O que não significa que nenhum dos logins foi violado e vazado para a dark web. “As credenciais que vimos nos registros do infostealer continham URLs de login para páginas de login da Apple, Facebook e Google”, disse Diachenko.
Mas o BleepingComputer contestou a alegação da Cybernews afirmando que não se trata de uma nova violação — mas sim de uma compilação massiva de credenciais vazadas anteriormente, coletadas em incidentes passados envolvendo malware para roubo de informações, preenchimento de credenciais e diversas violações de dados. Esta não seria uma nova violação de dados, nem uma violação propriamente dita, e os sites envolvidos não foram comprometidos recentemente para roubar essas credenciais. Em vez disso, essas credenciais roubadas provavelmente circularam por algum tempo, senão anos. Elas foram então coletadas por uma empresa de segurança cibernética, pesquisadores ou agentes de ameaças e reempacotadas em um banco de dados que foi exposto na internet.
