149 milhões de nomes de usuário e senhas expostos por banco de dados inseguro

Um banco de dados contendo 149 milhões de nomes de usuários e senhas de contas – incluindo 48 milhões para Gmail17 milhões para Facebooke 420.000 para a plataforma de criptomoeda Binância—foi removido depois que um pesquisador relatou a exposição ao provedor de hospedagem.

O analista de segurança de longa data que descobriu o banco de dados, Jeremiah Fowler, não conseguiu encontrar indicações de quem o possuía ou operava, então trabalhou para notificar o host, que retirou o tesouro por violar um contrato de termos de serviço.

Além de logins de e-mail e de mídia social para diversas plataformas, Fowler também observou credenciais para sistemas governamentais de vários países, bem como logins de bancos de consumo, cartões de crédito e plataformas de streaming de mídia. Fowler suspeita que o banco de dados tenha sido montado por malware para roubar informações que infecta dispositivos e depois usa técnicas como keylogging para registrar informações que as vítimas digitam em sites.

Ao tentar entrar em contato com o serviço de hospedagem ao longo de cerca de um mês, Fowler diz que o banco de dados continuou a crescer, acumulando logins adicionais para uma série de serviços. Ele não cita o fornecedor, porque a empresa é uma anfitriã global que contrata empresas regionais independentes para expandir seu alcance. O banco de dados foi hospedado por uma dessas afiliadas no Canadá.

“Esta é como uma lista de desejos dos sonhos para os criminosos, porque você tem muitos tipos diferentes de credenciais”, disse Fowler à WIRED. “Um infostealer faria mais sentido. O banco de dados estava em um formato feito para indexar grandes registros, como se quem o configurou esperasse coletar muitos dados. E havia toneladas de logins governamentais de muitos países diferentes.”

Além dos 48 milhões de credenciais do Gmail, o tesouro também continha cerca de quatro milhões para contas do Yahoo, 1,5 milhão para o Microsoft Outlook, 900 mil para o iCloud da Apple e 1,4 milhão para contas acadêmicas e institucionais “.edu”. Houve também, entre outros, cerca de 780 mil logins para TikTok, 100 mil para OnlyFans e 3,4 milhões para Netflix. Os dados eram acessíveis publicamente e pesquisáveis ​​usando apenas um navegador da web.

“Parecia que ele capturava tudo e qualquer coisa, mas uma coisa interessante era que o sistema parecia classificar automaticamente cada registro com um identificador, e esses eram identificadores exclusivos que não reapareciam”, diz Fowler. “Parecia que o sistema estava organizando os dados automaticamente para facilitar a pesquisa.

Embora Fowler enfatize que não determinou quem possuía ou usava as informações e para que finalidade, tal estrutura faria sentido se os dados estivessem sendo consultados por clientes cibercriminosos que pagassem por diferentes subconjuntos de informações com base em seus golpes.

Há um fluxo aparentemente interminável de bancos de dados online erroneamente não protegidos e acessíveis ao público que expõem informações confidenciais para qualquer pessoa acessar. Mas à medida que os corretores de dados e os cibercriminosos acumulam tesouros cada vez maiores, os riscos de potenciais violações só aumentam. E o malware para roubo de informações tem adicionado ao problema tornando simples e confiável para os invasores automatizarem a coleta de credenciais de login e outros dados confidenciais.

“Os infostealers criam uma barreira de entrada muito baixa para novos criminosos”, diz Allan Liska, analista de inteligência de ameaças da empresa de segurança Recorded Future. “Alugar uma infraestrutura popular que vimos custos algo entre US$ 200 e US$ 300 por mês, portanto, por menos do que o pagamento de um carro, os criminosos poderiam potencialmente obter acesso a centenas de milhares de novos nomes de usuário e senhas por mês.”