Empresas da Fortune 500 vazam chaves privadas e "abrem as portas" para hackers

Pesquisadores de segurança da empresa GitGuardian descobriram uma falha que revelou a chave de acesso privada de alguns dos sites mais importantes do mundo: parte integral dos certificados TLS, que protegem senhas e dados de cartões de crédito, por exemplo, essas chaves podem dar acesso total de hackers às páginas.

• O que é um Supply Chain Attack?
• O que é spoofing?

As chaves públicas, como o nome já diz, podem ser vistas por todo mundo, mas as privadas precisam se manter em segredo: a encriptação de qualquer site estará comprometida se essa informação vazar. Empresas do grupo Fortune 500, que representam as mais lucrativas do mundo, bem como sites governamentais globais estão entre os afetados pela brecha.

Como identificar os sites afetados?

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo a GitGuardian, a empresa vem acompanhando o vazamento de aproximadamente um milhão de chaves privadas acidentalmente postadas em sites públicos, como GitHub e DockerHub, desde 2021. Com referenciamento cruzado com a base de dados web da Google, a equipe conseguiu mapear os vazamentos a 140.000 certificados.

Até setembro de 2025, exatamente 2.622 desses certificados ainda estavam válidos e ativos. Mais de 900 são de companhias na lista Fortune 500, serviços de saúde e agências governamentais. Com os dados em mãos, é possível imitar completamente os sites (spoofing) e interceptar dados, então é preocupante que muitos deles não se importem em corrigir a vulnerabilidade de criptografia séria.

Mesmo com anos de pesquisa, os pesquisadores relataram dificuldades para descobrir a quais sites as chaves privadas vazadas pertenciam: dos 2.600 certificados válidos, apenas 16% informavam a qual organização estavam ligados.

Raspando dados de sites, checando donos de domínios e até mesmo usando IA, 1.300 certificados continuaram impossíveis de ter a origem identificada. Os sites, então, ficam permanentemente sob risco de invasão.

A GitGuardian enviou 4.300 e-mails revelando a falha para mais de 600 organizações, mas apenas 9% responderam. Em alguns casos, os programas de recompensa por encontro de bugs chegaram a pedir provas de que o vazamento de chaves privadas “realmente representa um problema de segurança”.

Até o momento, a equipe conseguiu remediar 97% dos casos, mas teve de ir atrás das autoridades que emitiram os certificados. Segundo a empresa, a indústria deveria começar a usar chaves únicas que rotacionam automaticamente, garantindo que, mesmo em caso de vazamento, o dano causado seja limitado.

Leia também:

• O perigo do "Patrocinado": como identificar anúncios falsos nas buscas do Google
• FBI derruba fórum hacker e rouba dados e IPs de criminosos
• Erro interno faz funcionário espalhar vírus invisível na Wikipédia

Fonte: GitGuardian