2021 foi um ano recorde para violações de dados. De acordo com a pesquisa do Identity Theft Resource Center (ITRC), o número total de violações de dados até 30 de setembro de 2021 já superou o número total de eventos em 2020 em 17%, com 1.291 violações em 2021, contra 1.108 violações em 2020.
Em particular, o setor de manufatura & utilidades foi profundamente impactado, com 48 compromissos e um total de 48.294.629 vítimas. O setor de saúde seguiu, com 78 compromissos e mais de 7 milhões de vítimas. Outros setores com mais de 1 milhão de vítimas incluíram serviços financeiros (1,6 milhão de vítimas), governo (1,4 milhão de vítimas) e serviços profissionais (1,5 milhão de vítimas).
Ainda mais preocupante, houve um aumento da falta de transparência nos avisos de violação tanto no nível da organização quanto do governo. Se a tendência continuasse, diz o ITRC, poderia levar a um impacto significativo sobre os indivíduos.
Este ano, a revista Security traz uma lista das 10 principais violações e exposições de dados de 2021, e algumas outras menções notáveis.
10. Vazamento de dados de usuários de Android — mais de 100 milhões
Em maio, pesquisadores de segurança descobriram os dados pessoais de mais de 100 milhões de usuários de Android expostos devido a várias configurações erradas de serviços em nuvem. Desprotegidos em bancos de dados em tempo real usados por 23 aplicativos, os downloads variaram de 10.000 a 10 milhões e incluíram recursos internos do desenvolvedor.
Os pesquisadores da Check Point descobriram que qualquer pessoa poderia acessar informações confidenciais e pessoais, incluindo nomes, endereços de e-mail, datas de nascimento, mensagens de bate-papo, localização, sexo, senhas, fotos, informações de pagamento, números de telefone e notificações push.
Além disso, dos 23 aplicativos analisados pelos pesquisadores da Check Point, uma dúzia tinha mais de 10 milhões de instalações no Google Play. A maioria deles tinha o banco de dados em tempo real desprotegido, expondo informações confidenciais do usuário. Embora as bases de dados mal configuradas não sejam uma surpresa, os resultados mostram a falta de práticas básicas de segurança em muitos aplicativos. As configurações erradas também colocam os dados pessoais dos usuários em risco.
9. Visitantes da Tailândia — mais de 106 milhões
Em agosto, o pesquisador de cibersegurança da Comparitech Bob Diachenko encontrou seus próprios dados online depois de descobrir um banco de dados inseguro, que continha as informações pessoais de milhões de visitantes da Tailândia.
O banco de dados desprotegido da Elasticsearch data de dez anos atrás e continha as informações pessoais de mais de 106 milhões de viajantes internacionais, incluindo:
Data de chegada
Nome completo
Sexo
Número do passaporte
Status de residência
Tipo de visto
Número do cartão de chegada
Diachenko alertou as autoridades tailandesas, que reconheceram o incidente e garantiram os dados no dia seguinte.
8. Raychat — 150 milhões
O aplicativo de negócios e mensagens sociais do Irã Raychat sofreu uma grande violação de dados. Milhões de seus registros de usuários foram expostos à internet e depois destruídos por um ataque cibernético envolvendo um bot.
De acordo com um relatório do Gizmodo, a empresa armazenava seus dados de usuários em um banco de dados MongoDB mal configurado, um banco de dados NoSQL usado por empresas que lidam com grandes volumes de dados de usuários. Quando mal configurado, o banco de dados pode deixar milhões de documentos vulneráveis. Diachenko, que descobriu a violação, disse que encontrou a vulnerabilidade usando ferramentas de pesquisa de código aberto acessíveis publicamente. Em um DM do Twitter para o Gizmodo, Diachenko disse que vários bancos de dados NoSQL como o Mongo são alvos "de ataques de bots operados por atores mal-intencionados que escaneiam a internet em busca de dbs abertos e desprotegidos [bancos de dados] e limpam seu conteúdo, restando apenas uma nota de resgate". Diachenko diz que uma nota de resgate readme exigiu 0,019 em bitcoin (ou US $ 700).
7. Stripchat — 200 milhões
Diachenko descobriu um banco de dados da Elasticsearch contendo 200 milhões de registros pertencentes ao Stripchat — um site de câmeras para adultos. O banco de dados incluía 65 milhões de registros de usuários que continham endereços de e-mail, endereços IP, o número de dicas que eles deram aos modelos, um cronograma de quando a conta foi criada e a última atividade de pagamento.
Diachenko também encontrou outro banco de dados contendo cerca de 421.000 registros para os modelos da plataforma, incluindo nomes de usuário, gênero, IDs de estúdio, menus e preços de gorjeta, status ao vivo e a "pontuação de tiras" do modelo. "
Max Bennet, da Stripchat, disse ao Threatpost por e-mail: "As informações sobre 134 milhões de transações que ocorreram foram expostas; no entanto, nenhuma informação foi vazada sobre os detalhes do pagamento. Finalmente, informações sobre pelo menos 719.000 mensagens de bate-papo (foi exposta). Nenhum conteúdo das mensagens privadas foi revelado, no entanto.
Diachenko disse que a exposição pode representar riscos tanto para os telespectadores do Stripchat quanto para os modelos.
6. Socialarks — mais de 214 milhões
Os pesquisadores da Safety Detectives, liderados por Anurag Sen, descobriram um servidor pertencente à Socialarks — uma empresa de gerenciamento de mídia social transfronteiriço — que continha perfis sucateados de mais de 214 milhões de usuários de mídia social, obtidos no Facebook, Instagram e LinkedIn. O banco de dados tinha mais de 408GB de dados e mais de 318 milhões de registros.
Detetives de segurança descobriram:
11.651.162 perfis de usuários do Instagram
66.117.839 perfis de usuários do LinkedIn
81.551.567 perfis de usuários do Facebook
Outros 55.300.000 perfis do Facebook foram sumariamente excluídos poucas horas depois que nossa equipe descobriu o servidor e sua vulnerabilidade pela primeira vez.
Dado o tamanho do vazamento de dados, os detetives de segurança disseram que era desafiador para a equipe desvendar toda a extensão dos danos potenciais causados. Mas, a partir dos dados examinados, os pesquisadores puderam determinar os nomes completos das pessoas, país de residência, local de trabalho, posição, dados de assinantes e informações de contato e links diretos para perfis.
5. Banco de Dados Brasileiro — 223 milhões
Em janeiro, foi descoberta a maior violação de dados pessoais da história brasileira. Os conjuntos de dados foram descobertos pelo PSafe e, em seguida, relatados pelo Tecnoblog. As bases de dados incluíam nomes, identificadores fiscais exclusivos, imagens faciais, endereços, números de telefone, e-mail, score de crédito, salário e muito mais. Os dados também contêm os dados pessoais de vários milhões de pessoas falecidas. Além disso, 104 milhões de registros de veículos estavam disponíveis.
A informação, diz o Open Democracy, é normalmente usada por agências de pontuação de crédito, o que levou os pesquisadores a suspeitar que o vazamento pode ter se originado da Serasa Experian, a principal agência brasileira de pontuação de crédito.
Os dados foram oferecidos gratuitamente em um fórum da Darknet.
4. Bykea — 400 milhões
Liderada pelo pesquisador Sen, a equipe de Detetives de Segurança descobriu uma vulnerabilidade do servidor Elástico durante verificações rotineiras de endereço IP em portas específicas. O servidor exposto continha registros de API para Bykea — empresa de transporte, logística e dinheiro em pagamentos de entrega com sede em Karachi, Paquistão.
Pesquisadores descobriram que Bykea expôs publicamente todas as informações de seu servidor de produção sem proteção por senha ou criptografia e permitiram acesso a mais de 200GB de dados contendo mais de 400 milhões de registros. Os dados continham nomes completos, locais e outras informações pessoais que os hackers poderiam potencialmente aproveitar para causar danos financeiros e reputacionais.
O CEO da Bykea, Muneeb Maayr, descreveu o ataque cibernético como "nada fora do comum, dado que a Bykea é uma empresa de tecnologia baseada em mobilidade, informa a Safety Detectives. Ainda não está claro se essa última violação está relacionada a um hack que a empresa sofreu anteriormente, durante o qual os invasores supostamente excluíram todo o banco de dados de clientes da empresa."
3. Facebook — 553 milhões
O pesquisador de segurança Alon Gal descobriu um banco de dados vazado pertencente ao Facebook, contendo 533 milhões de contas.
Os dados incluem as informações pessoais de usuários do Facebook de 106 países, incluindo mais de 32 milhões de registros sobre usuários nos EUA, 11 milhões de usuários no Reino Unido e 6 milhões em usuários na Índia. Insider revisou uma amostra dos dados vazados e verificou vários registros, combinando os números de telefone dos usuários conhecidos do Facebook com os IDs listados no conjunto de dados. O Insider também confirmou registros testando endereços de e-mail do conjunto de dados no recurso de redefinição de senha do Facebook, que pode ser usado para revelar parcialmente o número de telefone de um usuário.
De acordo com Gal, "um banco de dados desse tamanho contendo informações privadas, como números de telefone de muitos usuários do Facebook, certamente levaria a maus atores a aproveitar os dados para realizar ataques de engenharia social [ou] tentativas de hackers".
2. LinkedIn — 700 milhões
Os dados pessoais de 700 milhões de usuários do LinkedIn, quase 93% dos membros da empresa, estavam à venda online. Os dados parecem ser recentes, com amostras de 2020 e 2021. Embora os dados não incluíssem credenciais de login ou informações financeiras, ele incluía informações pessoais que poderiam ser usadas para assumir a identidade de alguém, incluindo:
Nomes completos
Números de telefone
Endereços físicos
Endereços de e-mail
Registros de geolocalização
Nomes de usuário do LinkedIn e URLs de perfil
Experiências e experiências pessoais e profissionais
Gêneros
Outras contas de mídia social e nomes de usuário
Em uma declaração à Fortune, um porta-voz do LinkedIn contesta isso, dizendo: "Investigamos, e não há evidências de que sejam dados novos ou que os dados sejam de 2020 e 2021. A investigação atual do LinkedIn indica que número de telefone, sexo, salário inferido e endereço físico neste conjunto de dados não veio do LinkedIn."
O ator de ameaças disse ter usado o mesmo método para obter os dados que foram usados em uma infiltração em abril, que também viu dados de 500 milhões de usuários sendo vendidos online. A empresa emitiu um comunicado, dizendo que os dados não eram resultado de um ataque, mas de um ator de ameaças que retirava dados que estavam disponíveis publicamente em grande escala.
"Nossas equipes investigaram um conjunto de supostos dados do LinkedIn que foram postados à venda", disse a empresa. "Queremos deixar claro que não se trata de uma violação de dados e nenhum dado de membro privado do LinkedIn foi exposto. Nossa investigação inicial descobriu que esses dados foram raspados do LinkedIn e outros sites diversos e inclui os mesmos dados relatados no início deste ano em nossa atualização de raspagem de abril de 2021. Quando alguém tenta pegar dados de membros e usá-los para fins que o LinkedIn e nossos membros não concordaram, trabalhamos para detê-los e responsabilizá-los."
1. Cognyte — 5 bilhões
Diachenko descobriu um enorme banco de dados de mais de 5 bilhões de registros, coletados de incidentes de dados anteriores, expostos na web sem uma senha ou qualquer outra autenticação necessária para acessá-lo, de acordo com a Comparitech.
O banco de dados foi armazenado pela Cognyte, uma empresa de análise de segurança cibernética que armazenava os dados como parte de seu serviço de inteligência cibernética, que é usado para alertar os clientes sobre exposições de dados de terceiros. Diachenko alertou Cognyte, que garantiu o banco de dados três dias depois.
"Graças às informações fornecidas pelo pesquisador de segurança, Volodymyr "Bob" Diachenko, Cognyte foi capaz de responder rapidamente e bloquear uma exposição potencial. Apreciamos uma abordagem tão responsável e construtiva, que ajuda a conscientizar e induz empresas e organizações a implementar salvaguardas de segurança e proteger melhor seus dados", disse Cognyte em comunicado à Comparitech.
Armazenado em um cluster de tesouraria, o banco de dados ficou exposto por quatro dias e continha 5.085.132.102 registros. Nem todas as violações de dados das quais os dados foram originários incluíam senhas, no entanto, não pudemos determinar uma porcentagem exata de registros que continham uma senha, diz a Comparitech.
Todos ou alguns continham as seguintes informações:
Nome
Endereço eletrônico
Senha
Fonte de dados
Algumas das violações de dados anteriores das quais os dados foram fontes incluem Zoosk, Tumbler, Antipublic, MySpace, Canva, Verification.io, iMesh, Edmodo, VK, Exploit, Master Breach Comp, Rambler, Onebip, Scentbird, Appen.com, Toondoo, Wishbown, Wattpad, Mathway, Promo.com, MGM e Estante (loja de livros brasileiras).
Embora a violação de dados tenha sido violada antes, ela poderia ter representado riscos para os usuários finais se os atores de ameaças tivessem acessado.
Achou este artigo interessante? Siga a ASG no Facebook, Youtube e Instagram para ler mais conteúdo como este.
Comentarios