Pesquisadores independentes da NordVPN encontraram mais de 54 bilhões (54.008.833.188) de cookies de internet na dark web, sendo 1,5 bilhão originários dos Estados Unidos. Segundo a pesquisa, os agentes de ameaças usaram 12 variantes diferentes de malware infostealer para coletar esses cookies de alvos em todo o mundo. Lembrando que cookies de Internet são pequenos arquivos de texto contendo dados sobre suas sessões de navegação e eles foram projetados para permitir uma experiência de navegação suave e conveniente. Ou seja: graças aos pop-ups de consentimento de cookies, vemos os cookies como uma parte necessária, embora irritante, de estar online. No entanto, muitos não percebem que, se um hacker se apossar de seus cookies ativos, talvez não precise saber logins, senhas e até mesmo MFA para ultrapassar suas contas – como explica Adrianus Warmenhoven, consultor de cibersegurança da NordVPN.
Mais de 2,5 mil milhões de todos os cookies da amostra de dados pertenciam à Google e outros 692 mil milhões ao YouTube; mais de 500 milhões eram da Microsoft e do Bing: os cookies destas grandes contas são especialmente perigosos porque podem ser usados para aceder a outras informações de início de sessão, através, por exemplo, da recuperação de palavras-chave, sistemas empresariais ou SSO.
Metade dos cookies não continha dados do país, embora 95% estivessem inativos. Dos que tinham dados sobre o país do usuário, os mais comuns foram Brasil, Índia, Indonésia, Estados Unidos e Vietnã. Se olharmos especificamente para a Europa, a maioria dos cookies veio da Espanha: 554 milhões. Já o Reino Unido ficou em 120º lugar em número de cookies, e mais da metade deles estava ativa. Em geral, usuários de 244 países e territórios foram representados no conjunto de dados, o que mostra o amplo alcance dos hackers e recursos avançados de malwares.
A maior categoria de palavras-chave (10,5 mil milhões) foi a de “ID atribuído”, seguida de “ID de sessão” (739 milhões) — estes cookies são atribuídos ou associados a utilizadores específicos para manterem as suas sessões ativas ou os identificarem no site. Seguiam-se 154 milhões de cookies de autenticação e 37 milhões de cookies de início de sessão.
Quando se trata de informações pessoais, os cookies armazenavam principalmente o nome, o endereço de e-mail, a cidade, a senha e o endereço físico do usuário. Uma cidade específica foi incluída em 9 milhões de cookies, enquanto mais de 2 milhões continham até mesmo o endereço específico do usuário. A orientação sexual, embora menos frequente, ainda apareceu 500 mil vezes no conjunto de dados, com uma taxa mais alta de cookies ativos (26%). Isso cria um risco adicional para os membros da comunidade LGBTQ+, já que, em alguns países, ter sua orientação sexual exposta pode levar a consequências graves.
Foram usados até 12 tipos diferentes de malware para roubar estes cookies. Quase 57% foram extraídos pelo Redline, um conhecido infostealer e keylogger.
Nem a NordVPN nem seus parceiros de pesquisa compraram os cookies roubados e nem acessaram seu conteúdo. Nossos parceiros apenas analisaram os dados disponíveis nos anúncios de venda de cookies. Fomos muito cuidadosos para não violar nenhuma privacidade ou a segurança dos usuários da Internet durante a produção deste relatório de pesquisa.