White Hack - Gestão de Vulnerabilidade e LGPD

Brasil sofre novo vazamento de dados contendo 10 milhões de senhas

Mais uma vez o Brasil é afetado com um vazamento de dados de pelo menos 9,78 milhões de senhas. Dessas, 68.535 são governamentais. Os principais envolvidos no vazamento são da Caixa, Fatec, Câmaras, Previdência, Polícias etc. O COMB21, a maior compilação conhecida de vazamentos de senhas publicada em 2 de fevereiro de 2021 por um hacker no mesmo fórum da Internet que hospedou no mês passado links e informações sobre o mega vazamento de dados brasileiros.

O arquivo vendido e compartilhado na internet, segundo o Syhunt, traz e-mail, CPF/CNPJ e senha. O vazamento foi apelidado de PWCOMB21. A Syhunt afirma que o vazamento veio de diversas fontes. O que ainda não está claro, apesar de um óbvio problema quando falamos sobre dados, é que ainda não é possível checar se as senhas vazadas são atuais. A data e como foi isso explorado é uma das questões a serem respondidas.

O número de vazamentos pode ser muito maior, uma vez que e-mails “internacionais” como @gmail.com não foram considerados nos números deste vazamento. Levou-se em conta apenas os e-mails com final .br usados por brasileiros.

Dentre as prefeituras do país, a prefeitura de Belo Horizonte foi a que teve mais senhas no vazamento de dados, seguida por São Paulo.

A fonte do vazamento de dados

Chamamos esse vazamento de PWCOMB21 (Compilação de senha de muitas violações de 2021) e às vezes referido apenas como COMB. O vazamento COMB é uma compilação de vazamentos e, como tal, o número impressionante de senhas vazadas vem de vários vazamentos em diferentes empresas e organizações que aconteceram ao longo dos anos. As senhas foram expostas por meio de técnicas bem conhecidas, como quebra de hash de senha, após serem roubadas, e às vezes ataques de pishing ou espionagem em conexões de texto simples e inseguras.

Conclusão

Apesar dos esforços nos últimos anos pelas empresas e organizações para monitorar vazamentos de senha, fortalecer a segurança de aplicativos da web, mecanismos de login, mudar para HTTPS e responder a vazamentos de senha, a publicação e compartilhamento ativo desta compilação de vazamento de dados é um grande golpe à segurança da Internet.

Embora alguns dos domínios, organizações, agências e empresas listados possam ter reconhecido publicamente sobre as violações ao longo dos anos e adotado uma resposta apropriada e ações de contramedidas, um número significativo de senhas vazadas parece ter origem em violações que afetaram outras empresas e sites que simplesmente permitiram para criar contas vinculadas aos e-mails do usuário. Isso significa serviços como o LinkedIn, entre outras redes sociais, e vários outros sites da Internet não mencionados no arquivo COMB.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Compartilhe

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Mais Posts

Prometheus TDS

Prometheus TDS é usado em diversos ataques

Vários grupos cibercriminosos estão utilizando uma solução de Malware-as-a-Service (MaaS) para distribuir uma vasta gama de campanhas de distribuição de software malicioso que resultam na

FLoC: O Novo Rastreador do Google

Os cookies de terceiros (third-party cookies) no Chrome estão sendo desativados. Isso significa que o Google está prestes a desistir de uma grande parte de

Assine a Newsletter