O número de cadastros expostos com informações pessoais de usuários como consequência de falhas de segurança aumentou durante a pandemia. De acordo com dados de relatórios do segundo semestre de 2020, a quantidade de vazamentos diminuiu, mas o número de cadastros expostos é cinco vezes maior do que nos anos anteriores. Aplicativos como o Zoom ou o Nintendo foram apenas alguns dos que estiveram no centro desses ataques que resultaram em vazamentos de dados ao longo do último ano.
Nos dois casos citados acima, os cibercriminosos usaram técnicas de phishing ou duas do tipo de força bruta, como password spraying e password spraying, para obter credenciais de acesso a contas. Com a técnica de phishing, eles enviaram e-mails personificando as identidades dos aplicativos e com algum tipo de desculpa para que o usuário pudesse inserir seus dados de login em um site falso. Através da técnica de password spraying, os criminosos usaram credenciais compostas por senhas fracas de forma automatizada e, no caso da técnica de password spraying, eles utilizaram credenciais expostas em ataques anteriores e que os usuários aparentemente reutilizaram para acessar outros aplicativos ou serviços. No geral, esses incidentes resultaram na obtenção de mais de 100.000 acessos em cada caso, o que ocasionou a realização de compras falsas e acessos indevidos aos serviços.
Nos casos citados acima, as informações divulgadas correspondem a credenciais, mas os tipos de dados que são divulgados entre um vazamento e outro podem variar bastante. Os dados podem variar de contato, identificação, podem ser biométricos ou de trabalho, como endereços de e-mail, identificadores governamentais, senhas ou informações financeiras, entre outros. À primeira vista, nem todos os cadastros têm o mesmo valor e em alguns casos não parecem ter um valor monetário significativo, mas estratégico, como veremos a seguir.
Veja mais: Problemas gerados pela má gestão de dados nas empresas e organizações
Então, quais consequências um vazamento de dados pode gerar para um usuário?
Infelizmente, muitas pessoas ainda não estão cientes das consequências de uma exposição de dados pessoais como nomes, idade ou endereços de e-mail na Internet. Vários usuários não sabem como os atacantes usam essas informações para realizar atividades criminosas. A falta de consciência sobre a importância de cuidar dos dados pessoais e as boas práticas de segurança, como a criação de senhas fortes, tem um impacto direto no número de vazamentos de dados que ocorrem atualmente e no número de ataques ou incidentes de segurança sofridos pelos usuários.
Por exemplo, de acordo com dados de uma pesquisa realizada nos Estados Unidos em 2019, 64% dos americanos nunca verificaram se seus dados foram comprometidos por algum dos diversos vazamentos de dados que já ocorreram, enquanto 56% disseram que não sabiam o que fazer se suas informações fossem envolvidas em um incidente desse tipo.
Veja mais: Descubra se sua senha já foi vazada na Internet
Portanto, além do fato de ser fundamental que as empresas por trás dos serviços e aplicativos tomem as medidas necessárias para impedir que os dados dos usuários possam ser comprometidos após a exploração de uma vulnerabilidade, os usuários também têm sua parcela de responsabilidade e é importante que eles saibam como minimizar os riscos caso seus dados sejam afetados e como agir diante de um vazamento.
O que um cibercriminoso pode fazer com nosso endereço de e-mail?
Em primeiro lugar, é bastante comum que um usuário realize cadastros com informações como endereço de e-mail ou número de telefone. Um cibercriminoso pode usar essas informações como parte de uma campanha de phishing que acaba chegando a nossa caixa de entrada. Esses ataques buscam roubar credenciais de acesso, dados financeiros ou também realizar o download de malwares. Dependendo do objetivo da campanha, essas mensagens podem conter arquivos maliciosos ou links para sites onde os usuários acabam sendo vítimas do roubo de informações.
Veja mais: Campanhas de phishing continuam apresentando crescimento no Brasil
Da mesma forma, os usuários podem ter que enfrentar campanhas de extorsão, que também chegam através de e-mail, nas quais os atacantes costumam usar a engenharia social e apresentar às vítimas alguns dados pessoais ou privados para solicitar uma quantia em dinheiro com o intuito de evitar a divulgação das informações.
O que um cibercriminoso pode fazer com nossa senha ou dados financeiros?
Isso pode parecer bastante óbvio, mas nunca é demais lembrar o que os cibercriminosos podem fazer com esses dados. Além disso, é fundamental entender que nossas senhas e dados financeiros podem chegar às mãos de atacantes através do roubo de nossas informações por meio de um simples ataque de phishing.
A obtenção de senhas e de dados financeiros pode resultar em atividades criminosas dentro ou fora do aplicativo. No caso dos dados financeiros, eles podem ser usados para fazer compras em nome do proprietário ou para vendê-los no mercado negro. No caso das senhas, além de poder comercializá-las, elas podem ser utilizadas para acessar o serviço ou aplicativo para fins criminosos, bem como para tentar acessar outros serviços testando se o usuário reutilizou a mesma combinação ou com poucas variações em outra conta.
Um estudo realizado em 2018 pelo Virginia Polytechnic Institute e pela State University revelou que cerca da metade dos usuários reutiliza suas senhas com pouca ou nenhuma modificação em vários sites - as páginas web para compras on-line ou serviços de e-mail são as mais afetadas por casos de vazamento de dados. Da mesma forma, estima-se que milhões de senhas divulgadas em ocasiões anteriores continuem sendo utilizadas. Basta conferir o artigo que publicamos sobre as piores senhas de 2020 e a semelhança com as listas de anos anteriores, nas quais, como foi confirmado por outras análises sobre o uso de senhas, os usuários continuam usando critérios fracos, como combinações numéricas como 123456. Essas decisões podem levar a logins automatizados em sites confidenciais no caso de um vazamento de dados ou em um ataque futuro.
Veja mais: Qual o problema em usar a mesma senha em vários serviços?
Embora, como destacamos, seja responsabilidade dos aplicativos garantir a proteção correta das informações que o usuário proporciona, já que muitos vazamentos de dados são consequências de erros de configuração. Anteriormente, publicamos um artigo com dicas sobre o que fazer no caso de que sua senha tenha sido vazada em um incidente de segurança.