Mais de um milhão e meio de senhas associadas a endereços de e-mail pertencentes a orgãos governamentais em diferentes países do mundo foram publicadas para download gratuito em fóruns. Os dados desses órgãos fazem parte de uma publicação maior chamada COMB, que contém mais de 3 bilhões de senhas associadas a mais de 2 bilhões de endereços de e-mail exclusivos.
Embora os Estados Unidos seja o país mais afetado por essa exposição, com mais de 625 mil senhas associadas a endereços de e-mail com o domínio .gov, vários domínios pertencentes a órgãos governamentais em países latino-americanos fazem parte dessa publicação.
O Brasil é o país da América Latina que registra o maior número com 68.535 senhas pertencentes a endereços de e-mail com o domínio .gov.br, seguido pelo México com 31.995 com o domínio .gob.mx, Argentina (.gov.ar) com 15.604, Colômbia (.gov.co) com 9.428, Peru (.gob.pe) com 6.038, Chile (.gob.cl) com 5.843, Costa Rica (.go.cr)) com 4.402, Equador (.gov.ec) com 2.792, El Salvador (.gob.sv) com 1.640 e Venezuela (.gob.ve) com 1.461.
Veja mais: CNJ cria comitê para enfrentar crimes virtuais contra o Judiciário
A empresa Shyhunt analisou as informações desse vazamento denominado COMB, que foi descoberto originalmente em fevereiro deste ano, e afirma que os dados são uma compilação de diferentes brechas de segurança que afetaram empresas e organizações em anos anteriores e contém 100 GB de informações. Além disso, a empresa afirma que todos esses dados estão compactados em um arquivo 7zip que está sendo compartilhado ativamente entre os cibercriminosos.
Um dado curioso é que, segundo o portal CyberNews, entre as informações incluídas nesse pacote estão credenciais associadas a e-mails da planta de purificação de água de Oldsmar, na Flórida, nos Estados Unidos, que sofreu um ataque três dias após a publicação dessa informação no qual os invasores conseguiram acessar os sistemas através do TeamViewer e manipular os níveis químicos de hidróxido de sódio. No entanto, não se sabe se essa informação foi usada no ataque à planta.
Por outro lado, no caso do Brasil, das 68.535 senhas associadas a endereços de e-mail de órgãos governamentais, 4.589 correspondem ao domínio .jus.br.
De acordo com Cecilia Pastorino, especialista da ESET América Latina, os usuários e organizações afetados por esse vazamento devem alterar imediatamente a senha das contas comprometidas e também de todas as contas que usam a mesma senha. Este caso é uma boa oportunidade para lembrar empresas e usuários sobre a importância de alterar as senhas de contas com informações confidenciais de forma periódica e usar longas senhas alfanuméricas - de pelo menos 15 caracteres.
Exposições de informações desse tipo e tantos outros vazamentos que vêm ocorrendo nos últimos anos nos fazem ver que as boas práticas no cuidado com as senhas não são mais suficientes. Atualmente é essencial ter vários fatores de autenticação, como tokens de segurança físicos ou de aplicativos, SMS, sistemas biométricos, etc. Ou seja, é necessário ter algo mais do que a senha, para que a segurança não dependa apenas da senha, pois, como vimos, são relativamente fáceis de vulnerar, roubar, filtrar e repetir.