Desde o incidente com a companhia americana Equifax, que afetou quase metade da população dos Estados Unidos, além de parte do Reino Unido e Canadá, passando pela exposição de mais de um bilhão de dados de cidadãos indianos, até o maior roubo de informações vendidas em coleções que totalizaram mais de dois bilhões de cadastros.
Confira neste post alguns detalhes do que consideramos ser os vazamentos de dados mais relevantes desde 2013 até a presente data:
Yahoo!
Em 2013, a empresa de serviços de internet Yahoo! entrou para a história ao sofrer o vazamento de dados mais significativa dos últimos 10 anos.
Inicialmente, a empresa reconheceu que 1 bilhão de contas foram afetadas. No entanto, quatro anos depois, em 2017, quando a Verizon adquiriu a empresa e realizou uma investigação com peritos forenses externos, a verdadeira dimensão do ciberataque veio à tona:
A Oath, unidade de internet da Verizon, reconheceu que mais de 3 bilhões de usuários foram afetados - o total de contas do Yahoo! naquele momento. Além de enviar e-mails para notificar os "novos" afetados, eles também publicaram informações adicionais sobre o vazamento de dados de 2013 no site oficial da empresa.
Que tipo de informação foi comprometida nesse ataque? Bob Lord, chefe de segurança de informação do Yahoo!, afirmou que o vazamento incluiu nomes, endereços de e-mail, números de telefone, datas de nascimento, senhas com hash e, em alguns casos, perguntas de segurança e suas respectivas respostas.
A "boa notícia" é que os cibercriminosos não conseguiram acessar dados bancários ou de pagamento, uma vez que o sistema comprometido não continha esse tipo de informação.
Marriott Internacional
A cadeia de hotéis Marriott International foi notícia em 2018 por algo que começou a se desenvolver quatro anos antes e que envolveria quase 400 milhões de registros comprometidos:
Em 30 de novembro de 2018, a Marriott emitiu um comunicado no qual afirmava ter recebido "um alerta de uma ferramenta de segurança interna sobre uma tentativa de acesso ao banco de dados de reservas de hóspedes da Starwood nos Estados Unidos". Durante a investigação, descobriu-se que "houve acessos não autorizados à rede da Starwood desde 2014".
O que deixou de lição esse vazamento de dados que passou totalmente despercebida por 4 anos? Foram comprometidos 383 milhões de cadastros, incluindo nomes, números de telefone, detalhes do passaporte, endereços de e-mail e até números de cartões de crédito criptografados.
De acordo com o jornal americano New York Times, o ataque poderia ser atribuído a um grupo de inteligência chinesa, cujo principal objetivo era coletar dados sobre cidadãos americanos.
A verdade é que os pesquisadores, que trabalharam a partir de um alerta feito em 8 de setembro de 2018, detalharam que os cibercriminosos se aproveitaram de um trojan de acesso remoto e de uma ferramenta que encontra combinações de nomes de usuário e senhas na memória do sistema.
Equifax
Equifax é uma das agências de relatórios de crédito mais importantes dos Estados Unidos. Esta informação é fundamental para compreender a gravidade do vazamento que ocorreu em 2017 e que colocou em risco os dados de quase metade dos cidadãos americanos.
Durante setembro de 2017, a Equifax anunciou ter sofrido um vazamento que envolvia dados de aproximadamente 143 milhões de pessoas, ou seja, cerca de 44% da população total dos Estados Unidos. Clientes do Reino Unido e Canadá também foram afetados.
Entre as informações às quais os cibercriminosos conseguiram acesso estavam nomes dos clientes, números de seguro social, datas de nascimento, endereços, números de carteiras de motorista e também de cartões de crédito.
Como ocorreu um vazamento de dados tão significativa? De acordo com a própria Equifax, devido a uma "vulnerabilidade em um aplicativo web para acessar determinados arquivos".
O site Bloomberg foi um pouco além e afirmou que o vazamento ocorreu devido a uma falha de segurança que não foi corrigida a tempo, embora uma correção para o problema estivesse disponível dois meses antes do ataque.
As consequências não demoraram a aparecer: Richard Smith, CEO da Equifax na época, deixou o cargo. A empresa teve que enfrentar processos de usuários e investigações de reguladores nos Estados Unidos, Reino Unido e Canadá, e suas ações na bolsa caíram.
Aadhaar
Aadhaar é o maior banco de dados de identificação do mundo. Foi criado pela Autoridade de Identificação Única da Índia em 2009, permitindo que os cidadãos indianos acessem ajuda estatal, comprem um cartão SIM de celular, abram uma conta bancária e realizem diversos trâmites burocráticos através de um cartão.
Especificamente, o Aadhaar continha informações de mais de 1,1 bilhão de cidadãos indianos, incluindo um número único de identidade de 12 dígitos, varreduras de impressões digitais e da íris, nome, sexo e informações de contato.
Em janeiro de 2018, foi revelado publicamente o comprometimento sofrido pelo Aadhaar: os cibercriminosos conseguiram explorar os sistemas da instituição por meio do site da Indane, uma empresa estatal de serviços públicos que estava conectada ao banco de dados governamental por uma interface. O objetivo era recuperar dados armazenados por outros aplicativos ou softwares. A Indane não possuía os devidos controles de acesso, expondo assim os dados da empresa e de todos os usuários que possuíam um cartão Aadhaar.
Isso se tornou um dos maiores vazamentos de dados governamentais da história: a grande maioria da população da Índia (estima-se cerca de 90%) ficou vulnerável ao ser potencialmente vítima de crimes como roubo de identidade e outras fraudes.
Uma investigação realizada pelo jornal Tribune da Índia demonstrou que era possível acessar esses dados por 500 rúpias (aproximadamente R$ 30,00) através de um grupo de cibercriminosos que os oferecia pelo WhatsApp.
A ironia de tudo isso é que as autoridades do governo indiano só desconectaram o ponto de acesso que havia sido explorado pelos cibercriminosos para obter as informações em março daquele ano.
Collection #1 a #5
O caso Collection é bastante particular: conforme o próprio nome sugere, esse vazamento foi composto por uma coleção de dados extraídos de vários vazamentos que ocorreram anteriormente.
Entre as cinco entregas dessa "saga", a filtragem atingiu o impressionante número de 2,2 bilhões de endereços de e-mail e senhas.
Tudo começou em meados de janeiro de 2019, quando veio à tona que 773 milhões de endereços de e-mail únicos e mais de 20 milhões de senhas tinham sido expostos através do MEGA e outros fóruns, em um pacote chamado Collection#1.
Mas janeiro daquele mesmo ano traria mais surpresas, visto que no final do mês foram reveladas outras quatro novas pastas que faziam parte da mesma compilação. Collection#2, Collection#3, Collection#4 e Collection#5 também incluíam, entre outros dados, nomes de usuário, endereços e senhas, totalizando um tamanho de 993,36GB.
O Instituto Alemão Hasso Plattner conduziu uma investigação sobre o vazamento, confirmando que o conjunto completo das cinco pastas somava 2,2 bilhões de cadastros no total. Na verdade, em alguns fóruns, o pacote completo era oferecido com detalhes sobre o tamanho de cada pasta.
Como saber se meus dados foram vazados?
Os vazamentos de dados são mais comuns e frequentes do que gostaríamos. Por isso, é crucial que, como usuários, saibamos se nossos dados foram comprometidos de alguma forma, a fim de evitar a utilização criminosa de nossas informações.
Sites como o Have I Been Pwned, Identity Leak Checker, HackNotice são alguns dos que permitem verificar se nossas senhas foram expostas. O próximo passo é atualizar as senhas, escolhendo novas e mais seguras, evitando reutilizar a mesma senha em diversos serviços.
Outra prática altamente recomendada é ativar a autenticação em dois fatores em todos os serviços que disponibilizarem essa opção.