Diversos veículos de imprensa têm repercutido a notícia sobre um megavazamento de 183 milhões de senhas do "Gmail" e outros provedores. Infelizmente, as manchetes nem sempre deixam claro o que realmente é necessário saber sobre esse novo pacote de credenciais.
Olhando esses relatos de forma superficial, pode-se imaginar que o pacote contém senhas para acessar contas de e-mail ou até que os próprios provedores de e-mail, como Google e Microsoft, sofreram um ataque cibernético que colocou em risco os dados dos seus usuários.
Entretanto, nenhuma dessas suposições é verdadeira. O Google, inclusive, enviou um comunicado aos veículos de imprensa negando qualquer violação dos seus sistemas.
Sendo assim, vamos aos principais pontos que elucidam esse episódio: a origem, o que foi roubado e o contexto das informações.
As senhas não foram expostas em um banco de dados ou outro tipo de invasão. A rigor, portanto, não se trata de um vazamento, embora o termo "vazamento" seja bem comum nesse tipo de situação.
Em vez disso, o arquivo é uma coletânea de credenciais expostas pelo ecossistema dos infostealers. Nós já explicamos em mais detalhes como esse tipo de praga digital pode coletar diversas informações quando são executadas em um dispositivo.
Como existe um grande ecossistema criminoso por trás das operações dos stealers, milhares de credenciais são capturadas em sistemas comprometidos e expostas todos os dias. Porém, muitas dessas credenciais são disponibilizadas apenas em canais específicos e restritos.
Essas credenciais roubadas se disseminam aos poucos por outros canais do crime cibernético. Em dado momento, elas chegam a coletâneas públicas feitas por criminosos que buscam ganhar reputação ou notoriedade.
No entanto, o risco para quem foi exposto por um infostealer começou no momento em que a credencial foi exposta pela primeira vez. Quando os dados chegam nesse tipo de coletânea, as senhas normalmente já são antigas.
Os stealers roubam todo tipo de credencial. Portanto, as credenciais vazadas não estão associadas apenas a contas de e-mail, mas sim a diversos sites e plataformas que utilizam endereços de e-mail no campo de usuário.
Em outras palavras, o escopo é muito mais abrangente do que contas de e-mail.
Por um lado, isso é positivo. Contas de e-mail quase sempre podem ser usadas para redefinir outras senhas e, por isso, elas podem dar acesso indireto a muitos outros serviços.
No entanto, há também um aspecto negativo: os criminosos estão com acesso direto a muitos outros tipos de sistema, inclusive ambientes que podem conter dados corporativos, ainda que indiretamente.
De todo modo, é necessário entender que trocar a senha do e-mail de forma preventiva não vai surtir efeito.
Além dos dados dos stealers, a coletânea traz ainda uma coleção de credencias obtida por meio de ações de credential stuffing. Também já falamos mais a fundo sobre esse tópico.
Para resumir, criminosos podem tentar utilizar credenciais associadas a um serviço em outro. Por exemplo, um usuário e senha que foram expostos e estão associados a uma rede social podem ser utilizados em uma segunda rede social.
Muitos usuários repetem as senhas que utilizam, então esse método permite descobrir senhas que foram usadas mais de uma vez e ampliar a utilidade da credencial roubada.
Os ataques de credential stuffing aumentam o volume de credenciais válidas. No entanto, como esse ataque depende de credenciais já expostas, é muito provável que mais de um grupo encontre a mesma senha repetida, gerando um volume ainda maior de dados duplicados.
Cerca de 90% dos dados oriundos dos stealers não eram novos. Portanto, é até esperado que essa outra fatia dos dados tenha uma total de credenciais duplicadas ainda maior. Contudo, é também possível que essas credenciais estejam associadas a sites novos, o que significa que ainda há um risco a ser mitigado.
Vale lembrar, porém, que todas essas credenciais já estão nas mãos dos criminosos pelo menos desde abril. O risco não está no futuro.
Na Axur, nós monitoramos diversos canais onde criminosos cibernéticos compartilham credenciais expostas. Saber se uma credencial foi exposta é útil para elucidar certos casos de acessos indevidos, além de obrigar
Ao longo do último ano, detectamos mais de 177 bilhões de credenciais expostas. Destas, 6 bilhões eram novas. Todas as demais já haviam sido divulgadas anteriormente na data em que foram encontradas.
Essa "republicação" não significa que criminosos revalidaram as credenciais ou que eles sabem que elas ainda são úteis. A explicação é mais simples: reembalar dados antigos é um hábito recorrente dos criminosos cibernéticos que faz parte do processo que leva as novas credenciais roubadas a espaços cada vez mais públicos.
Também não podemos considerar que não existem novos riscos quando essas credenciais são republicadas. Embora o perigo maior já tenha passado, ainda é possível que criminosos encontrem novas formas de aproveitar essas credenciais, ou até que vulnerabilidades viabilizem novos tipos de ataques.
O Relatório Anual da Axur vai trazer esses e outros números sobre o cenário de ameaças global. Para estar entre os primeiros a receber esse conteúdo, peça para participar da Comunidade Axur e cadastre-se para ficar sabendo do lançamento. Se quiser saber mais sobre as coletâneas de credenciais e os riscos que elas representam, acesse nosso ebook sobre o tema.