Vazam dados de 69,4 mil usuários de serviço de VPN
Por Felipe Demartini | Editado por Jones Oliveira | 02 de Julho de 2021 às 21h30
Os dados pessoais e financeiros de 69,4 mil usuários do LimeVPN à venda por uma intrusão no site do serviço. De acordo com os próprios bandidos, que estão oferecendo o volume em fóruns da dark web, o pacote contém nomes de usuário e senhas de acesso à plataforma, informações de pagamento e até números de cartões de crédito usados pelos usuários.
- Tentativas de fraudes contra serviços financeiros cresceram 612% no Brasil
- Vazamento teria exposto dados pessoais de 700 milhões de perfis no LinkedIn
- Falha de segurança expõe 30 milhões de computadores da Dell a ataques
O alerta foi dado pelos especialistas da Privacy Sharks, que inicialmente acreditaram se tratar de uma brecha em um sistema de backup da plataforma. Na sequência, entretanto, veio a confirmação dos próprios criminosos de que o volume foi obtido a partir de uma invasão ao site oficial do LimeVPN, que chegou a ficar fora do ar por algumas horas e até a ser detectado como vetor de malwares por alguns softwares de segurança — ele está disponível normalmente no momento em que esta reportagem é escrita.
Amostras do volume de dados foram publicadas pelos criminosos, que pediam US$ 400 em Bitcoins. Inicialmente, eles afirmaram estar em posse dos dados de 10 mil pessoas, mas depois atualizaram o número para o total de 69,4 mil. Além disso, os responsáveis pelo ataque afirmaram que o golpe aconteceu por meio de uma falha de segurança, e não por engenharia social ou credenciais roubadas.
Em uma possibilidade ainda mais grave, os bandidos afirmam ter as chaves individuais de criptografia que são atribuídas a cada usuário do LimeVPN. Assim, afirmam, eles também seriam capazes de identificar o histórico de utilização dos clientes, o que seria uma brecha de privacidade e traria riscos à segurança pessoal deles. A ideia dos especialistas é que o banco de dados já teve alguns compradores e é disseminado livremente.
A recomendação é que os usuários alterem suas senhas de acesso ao LimeVPN e outras credenciais que sejam semelhantes às usadas no serviço — o ideal é utilizar combinações seguras e únicas, de forma que um vazamento como esse não comprometa a segurança de outras plataformas. Além disso, é importante ficar de olho na fatura do cartão ou solicitar o cancelamento e emissão de um novo, já que as informações financeiras podem ser usadas por terceiros em casos de fraude.
O Canaltech tentou contato com os responsáveis pelo LimeVPN, mas não recebeu resposta até a publicação desta reportagem. Os especialistas do Privacy Sharks também relatam que a plataforma não se comunicou com eles.
Fonte: Privacy Sharks