Levantamento do dfndr lab aponta 3 bilhões de dados expostos em 8 meses

Em 2018, houve uma série de vazamentos de dados de usuários em vários serviços. No Facebook, há cerca de um ano, houve utilização indevida de contas de 87 milhões de pessoas na rede social no caso Cambridge Analytica. A rede Mariott de hotéis teve vazamento de dados de mais de 500 milhões de hóspedes. Em 8 meses de análise, o dfndr lab, braço de pesquisas da PSafe, levantou 3 bilhões de credenciais expostas na internet. “Isso é algo que não para. A gente vê cerca de 20 mil novas credenciais expostas todos os dias”, explica Emilio Simoni, diretor do dfndr lab.

Só isso já seria motivo suficiente para que empresas passassem a tomar mais cuidado com informações de seus servidores. Esse não é o caso de uma escola de tênis do Grupo Guga Kuerten, que leva o nome do astro do esporte nacional. Um leitor avisou o Canaltech sobre um problema de indexação de arquivos que permitia que qualquer pessoa tivesse acesso a comprovantes de quitação de débito de alunos da escola. Com isso, por uma busca simples no Google, era possível encontrar nomes de mães e alunos, além de seus respectivos CPFs.

O usuário alertou a escola em 25 de janeiro, mas não obteve resposta, motivo pelo qual entrou em contato com o Canaltech. Nossa equipe, então, buscou falar com a instituição. Somente na terceira tentativa que tivemos resposta. Em 14 de março, a empresa informou: “Muito obrigada por compartilhar essa questão. A Escola Guga já está em contato com a empresa para analisar a questão!” e resolveu o problema. Agora, os arquivos estão seguros e quem tenta acessá-los é direcionado para uma pasta de erro.

O descuido, segundo Simoni, tinha uma solução simples. “Bastaria que eles renomeassem a indexação ou mesmo colocassem uma condição de leitura para aquela pasta. Isto é, para acessar este arquivo, seria preciso uma permissão. Então, qualquer equívoco que aconteça, com documentos confidenciais, mesmo que a pessoa consiga acessar a página onde eles estão, precisa ainda de uma credencial para conseguir, de fato, entrar nestes conteúdos sensíveis”, explica o diretor do laboratório de segurança.

Dados sensíveis

Embora apenas o CPF possa parecer uma informação muito básica para criar alarme, Simoni explica que há uma gama de atividades que pessoas maliciosas podem tentar fazer com ele.

O cenário mais comum no Brasil é do ciclo de aproveitamento de máximo de dinheiro com este dado. O diretor explica que o primeiro passo dos criminosos é tentar pedir um empréstimo ou fazer um cartão de crédito em nome da pessoa usando tais informações.

“Quem tem informações como CPF exposto já está um pouco suscetível, mas não tem tanta exposição quanto quem teve informações de cartão de crédito ou outros dados vazados, como senhas de acesso ou credenciais vazadas. Mas já é um nível de exposição. O que acontece é que o cibercriminoso, quanto mais dados tiver, mais faz dinheiro. Se ele não conseguir fazer mais dinheiro, ele vai para pontos menos lucrativos, em que ele vai utilizar o CPF para tentar fazer cartão de crédito, para fazer empréstimo, esse tipo de ataque”, explica Simoni.

Além disso, ao não ver mais utilidade para conseguir dinheiro com isso, o criminoso tende a vender a informação em plataformas de banco de dados, expondo ainda mais o usuários.

Outro alerta também diz respeito a informações de falso sequestro, quando um criminoso liga para uma pessoa dizendo que tem seus filhos como reféns e pede um resgate. “Quanto mais informações, mais próximo do verdadeiro acaba aparecendo. Geralmente, a pessoa ligam falando que sequestrou algum familiar e até coloca alguém para fazer voz de criança. E se tiver de posse de informações como nome do filho, onde estuda, a hora em que estuda, vai tornar atuação dentro do golpe muito mais impactante”. No caso citado, havia informações sobre a escola, além da relação direta de nome entre mães e filhas, bem como quais cursos fazia na instituição.

O que fazer

Em casos deste tipo, é importante entrar em contato com a instituição e verificar se suas informações estão seguras ou se houve vazamentos. Assim, é possível que você já fique alerta sobre os danos que podem ser causados com uso indevido dos dados. Caso haja algum problema, é importante ir direto buscar ajuda de autoridades. Aparentemente, este não é o caso da escola citada.

“Caso aconteça algum golpe, o ideal é que a pessoa faça um boletim de ocorrência e contate a instituição o mais rápido possível informando o que aconteceu. Se foi algum tipo de golpe envolvendo contas bancárias, é possível que ela consiga reverter. E quanto mais informação que ela tiver para ajudar na investigação, melhor”, aponta Simoni.

Ainda, vale lembrar de algumas atitude básicas que podem ser tomadas do ponto de vista do usuário. Por exemplo, ter senhas variadas para cada tipo de serviço que você utiliza, principalmente para os mais sensíveis, como e-mails, smartphone e computador, além de serviço de armazenamento de dados em nuvem. Isso porque, caso sejam todos iguais, o comprometimento de uma senha pode expor todos os seus serviços.

Outro cuidado diz respeito a não clicar em quaisquer links sem ter certeza de que se trata de um serviço confiável. Parte dos dados expostos se dão por um golpe chamado de phishing, em que o criminoso envia um e-mail falso se passando por um serviço importante, como bancos e instituições públicas e pede informações dos usuários.

“É sempre bom lembrar também que, nesses casos, muitas vezes as empresas também são vítimas. É comum que quando as pessoas são visadas de alguma forma, elas acabem se revoltando contra uma empresa, mas ela também é uma vítima do cibercriminoso. Do ponto de vista dos usuários, o ideal é se precaver o máximo possível. Ter um antivírus instalado no celular, de preferência, que tenha um antiphishing, senhas fortes e únicas para cada serviços e, na dúvida, não fornecer dados pessoais”, finaliza o diretor.