App de mangás para Android e iOS vaza dados de 23 milhões de pessoas

As informações de 23 milhões de usuários do Mangatoon, um popular app de leitura de mangás para Android e iOS, vazaram neste final de semana. O conjunto de dados contém informações pessoais como nomes, endereços de e-mail, gênero e links para redes sociais, assim como tokens de autenticação e senhas criptografadas em formato MD5, um formato considerado seguro.

• Brasil é o 12º país mais atingido por vazamento de dados
• Após megavazamentos, tentativas de roubos de dados sobem 93% no Brasil em 2021

O vazamento de dados foi revelado neste final de semana pelo site Have I Been Pwned, que reúne brechas desse tipo e notifica os usuários sempre que suas informações aparecem em volumes desse tipo. A exposição teria acontecido em maio deste ano a partir de um servidor Elasticseach que não seguia boas práticas de segurança e controle de acesso.

De acordo com o responsável pela revelação do vazamento, que se autointitulou apenas como pompompurin, a plataforma usava o termo “senha” como a única credencial de acesso às informações. A vulnerabilidade deu acesso ao banco de dados e, enquanto ele afirma que o servidor foi protegido após um contato inicial, nunca houve resposta dos administradores do Mangatoon e muito menos um contato com os usuários atingidos, o que levou à divulgação do volume ao Have I Been Pwned.

Pompompurin seria o administrador do fórum Breached, que surgiu como um dos pontos de parada de cibercriminosos para a disponibilização de volumes vazados depois que o notório RaidForums foi fechado pelas autoridades da Europa, em abril. O vazamento ligado ao app de mangás ainda não aparece por lá, mas o responsável afirma que as informações serão disponibilizadas em algum momento, sem confirmar se elas seriam apenas publicadas ou vendidas a interessados.

Enquanto isso, o Mangatoon segue sem falar sobre o assunto. Troy Hunt, responsável pelo Have I Been Pwned, disse ter entrado em contato múltiplas vezes com o serviço, sem sucesso, enquanto publicações oficiais também não mencionam o vazamento de informações, apesar de as contas do serviço em redes sociais seguirem sendo atualizadas com divulgações do aplicativo.

Como se proteger de vazamentos de dados?

A principal utilização de volumes desse tipo acontece em ataques massificados, no qual criminosos se passam pela plataforma comprometida ou outros serviços para enviar e-mails e mensagens aos usuários. Por outro lado, serviços como o próprio Have I Been Pwned, assim como recursos de navegadores como o Google Chrome, ajudam o usuário a descobrir se o próprio e-mail foi comprometido e a partir de quais serviços isso aconteceu.

As comunicações fraudulentas podem envolver alertas, arquivos anexos e outras vias de contaminação por malware ou obtenção de mais informações, principalmente financeiras. O ideal é ignorar tais contatos de phishing e não clicar em links ou baixar arquivos anexos. Caso desconfie que o aviso, promoção ou solicitação é real, evite acessar sites indicados e procurar serviços de atendimento oficiais, bem como acessar diretamente os cadastros para não correr riscos.

Aos usuários que fazem parte do vazamento de dados do Mangatoon, a recomendação é de atenção redobrada e, também, a troca de senhas semelhantes que tenham sido utilizadas em outros serviços. Ainda que as credenciais obtidas estejam em um formato considerado seguro, vale a dica de segurança de sempre sobre o uso de combinações únicas em cada plataforma, para que o comprometimento de uma não signifique acesso às outras. Usar autenticação em duas etapas também ajuda na defesa contra invasões em casos assim, com o atacante não sendo capaz de acessar o serviço mesmo tendo a palavra-chave correta.

Fonte: Have I Been Pwned, Bleeping Computer