Hacker vaza dados de usuários do Vakinha e mais 18 serviços

Por Felipe Demartini | 03 de Agosto de 2020 às 11h56
Divulgação/Vakinha

Os dados pessoais de usuários do Vakinha, um dos principais sites de financiamento coletivo do Brasil, foram expostos na internet neste final de semana. 4,8 milhões de registros de informação da plataforma foram liberadas como parte de um universo de mais de 380 milhões de informações, com a plataforma sendo a única brasileira na lista de 18 serviços cujos usuários foram comprometidos.

De acordo com o site Have I Been Pwned, que reúne incidentes de segurança que envolvam o vazamento de informações, o comprometimento do Vakinha expôs dados como endereços de e-mail, nomes cadastrados, números de telefone e localizações geográficas. As senhas dos utilizadores também vazaram, mas em um formato criptografado, que dificulta o acesso.

Em comunicado enviado ao G1, o serviço confirmou o comprometimento das informações de seus usuários a partir de um acesso de terceiros não autorizados, sem falar no número de atingidos — o total de 4,8 milhões corresponde aos registros, ou seja, entradas únicas de dados. Sobre isso, o Vakinha apenas disse que a exposição não atingiu toda sua base de usuários e que os dados financeiros cadastrados na plataforma por apoiadores ou criadores de campanhas não foi acessado.

A empresa também reafirmou que, apesar de versões criptografadas das senhas de acesso terem vazados, elas permaneceram seguras. Ainda assim, a recomendação aos usuários que se sentirem ameaçados é a troca das credenciais, enquanto o Vakinha entra em contato com usuários que tenham saldo na plataforma para confirmações de telefone, endereço de e-mail e demais procedimentos de segurança relacionados às contas.

O banco de dados foi liberado por um hacker autointitulado ShinyHunters. Em fóruns, ele afirmou ter tentado vender a extensa base de dados que possuía em mãos, sem sucesso, o que levou à liberação gratuita do banco. Ainda de acordo com o Have I Been Pwned, as informações foram rapidamente compartilhadas em comunidades voltadas para esse fim e devem ser consideradas públicas, sem possibilidade de retirada do ar.

Vazamento generalizado

Wattpad foi o serviço mais atingido pelo vazamento, tendo 270 milhões de registros vazados; além dele e do Vakinha, outros 16 sites tiveram informações de seus usuários comprometidas (Imagem: Divulgação/Wattpad)

Entre o universo de 18 serviços expostos pelo hacker, o Vakinha, com 4,8 milhões de registros, aparece entre os menos atingidos. O maior comprometimento atinge o Wattpad, com 270 milhões de registros em 120 GB de informações do site voltado para a publicação de histórias e na criação de uma comunidade de leitores e autores.

No caso do site, foram expostos dados como endereços de e-mail, nomes, usuários, senhas, links para perfis em redes sociais ou sites, gênero, datas de nascimento, IPs e informações geográficas. Este banco de dados, afirmou ShinyHunters, foi o único que chegou a ser vendido antes da liberação gratuita das informações, o que pode indicar que golpes contra os usuários comprometidos podem estar acontecendo, pelo menos, desde junho deste ano.

Em um comunicado rápido sobre o assunto, o Wattpad confirmou o vazamento de dados mas informou que dados bancários, conversas privadas e números de telefone não fazem parte do volume comprometido. Além disso, de acordo com a plataforma, as senhas vazadas estão criptografadas e, mesmo em posse de terceiros, não poderão ser visualizadas para o comprometimento de contas. Ainda assim, a empresa informou estar resetando as credenciais de todos os atingidos e recomenda que seus usuários façam o mesmo em outros serviços que utilizem as mesmas informações.

Os outros serviços atingidos pelo vazamento são os seguintes:

  • Appen.com (5,8 milhões de registros);
  • Chatbooks.com (15,8 milhões de registros);
  • Dave.com (7 milhões de registros);
  • Drizly.com (2,4 milhões de registros);
  • GGumin.co.kr (2,3 milhões de registros);
  • Havenly.com (1,3 milhão de registros);
  • Hurb.com (20 milhões de registros);
  • Indabamusic.com (475 mil registros);
  • Ivoy.mx (127 mil registros);
  • Mathway.com (25,8 milhões de registros);
  • Proctoru.com (444 mil registros);
  • Promo.com (22 milhões de registros);
  • Rewards1.com (3 milhões de registros);
  • Scentbird.com (5,8 milhões de registros);
  • Swvl.com (4 milhões de registros);
  • Truefire.com (602 mil registros).

A recomendação dada pelos responsáveis pelo Wattpad vale também para todos os comprometidos não apenas neste, mas em qualquer vazamento desse tipo. Caso as informações de um serviço tenham vazado, o ideal é trocar senhas imediatamente, fazendo o mesmo em outras plataformas que compartilhem a mesma combinação. O ideal, aliás, é jamais repetir credenciais, utilizando palavras-chave seguras, aleatórias e exclusivas, assim, caso uma plataforma se torne vulnerável, os reflexos não recairão sobre outras.

Além disso, vale a pena manter um olhar atento a comunicações que cheguem por e-mail, mensagem de texto ou mensageiros instantâneos em nome das plataformas comprometidas ou de terceiros. De posse dos bancos de dados, criminosos podem praticar golpes contra os atingidos ou, simplesmente, tentar obter mais credenciais de acesso. Preste atenção em sites acessados a partir destes meios e evite baixar arquivos ou aplicativos por meio deles.

Atualização 05/08/2020 8h50: Em resposta ao Canaltech, o Vakinha confirmou o vazamento, fruto de um "possível acesso a alguns dados pessoais sem autorização" e disse estar investigando o caso. Por isso, a empresa ainda não tem a confirmação de quantas pessoas foram atingidas, podendo afirmar, apenas, que nem toda sua base de utilizadores foi afetada. Além disso, o site corroborou a informação de que as senhas estão armazenadas de forma segura e não foram expostas, assim como dados de pagamento que não são armazenados pela plataforma.

Em resposta ao caso, o Vakinha anunciou que está invalidando logins antigos, de forma que os usuários tenham que criar uma nova senha ao acessarem o serviço, e se comunicando primeiro com aqueles que possuem saldo disponível na plataforma. Na sequência, comunicados serão enviados a todos os atingidos, enquanto processos internos serão revistos para evitar novos comprometimentos desse tipo.

Confira a íntegra do comunicado:

"O Vakinha detectou um possível acesso a alguns dados pessoais sem autorização e informa que está investigando internamente o ocorrido, ainda sem confirmação de quantidade de usuários afetados. Apesar de os ataques não terem chegado à toda a base de dados, a empresa está tratando o caso como um vazamento pensando na segurança dos usuários.

A empresa ressalta que todas as senhas estão armazenadas de forma segura e criptografada no banco de dados, sendo assim, não existe o risco de invasão nas contas dos usuários, bem como movimentações financeiras dentro da plataforma. Além disso, dados de cartão de crédito não ficam armazenados na plataforma, e por isso não são elementos do vazamento. Apenas por precaução, os usuários com saldo disponível foram especialmente alertados para mudança de senhas, para garantir que não sejam iguais a de outros serviços.

Dentre as medidas que o site ainda está tomando de olho na segurança dos usuários são: invalidar logins de usuários antigos (terão de requisitar novas credenciais para continuar acessando o Vakinha), comunicação aos usuários com saldo em primeiro lugar e logo após comunicados aos demais clientes, intensificação de testes periódicos contra invasão e revisão de processos internos para reduzir, ainda mais, possíveis exposições.

Com grande preocupação no que tange informações confidenciais, seja de donos de vaquinhas ou de doadores, a empresa possui mecanismos de segurança que fazem monitoramentos constantes e identificam com agilidade possíveis situações suspeitas, para que possa agir com rapidez, sem danos aos usuários.

Lamentamos o ocorrido e estamos tratando com a maior agilidade possível para proteção dos nossos usuários e plataforma".

Fonte: Have I Been Pwned?, G1  

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.