Information Leakage

Vazamento de credenciais: como funciona e porque se preocupar

Por Rodrigo Dutra em
COMPARTILHAR

Infelizmente está se tornando cada vez mais comum lermos notícias sobre vazamentos de dados sensíveis de sites — o que inclui credenciais como logins, senhas e hashes. Por mais que esse assunto esteja em alta na mídia especializada, ainda são poucos os gestores que pararam para pensar em como essa “tendência” pode afetar a segurança de seu ambiente corporativo, causando prejuízos financeiros e abalo frente a seus consumidores.

Você conhece a prática batizada de credential stuffing? Em plena ascensão, esse golpe se aproveita do fato de que em média nós usamos duas ou três senhas para diversos serviços digitais — o que significa que, caso você consiga roubar a password cadastrada em uma loja virtual, por exemplo, há uma grande chance de que ela também possa ser usada para adentrar em outros serviços online.

É sempre válido lembrar que por natureza o brasileiro é descuidado com suas senhas. Uma análise realizada pela Axur constatou que 60% das passwords nacionais possuem só números e 27% delas têm apenas 6 caracteres, que costuma ser o limite mínimo exigido pelos sites no processo de cadastro.

Além disso, sequências numéricas (como “123456”), nomes próprios (“Gabriel”), palavras simples (“Sucesso”) e sequências óbvias (“qwerty”, “a1b2c3”) também são comuns em pleno 2018. Junte isso ao hábito de reutilizar credenciais e temos uma situação perigosa tanto para a sua empresa quanto para o indivíduo como pessoa física.

 

Reciclagem que dá dinheiro

No credential stuffing, os criminosos se apossam de credenciais vazadas na internet (já disponíveis ao público ou através de uma invasão direcionada) e fazem testes automatizados em centenas de outros serviços na web, descobrindo se alguma combinação de login e senha pode ser usada para acessar outra plataforma.

Se um bot é alimentado com um vazamento de 100 milhões de credenciais e conseguir reutilizar 2% delas, isso significa que o hacker lucrará 2 milhões de senhas válidas. E isso pode lhe render acesso tanto a serviços destinados ao usuário final (Netflix, Spotify, Paypal etc.) quanto plataformas em nuvem que guardam arquivos, dados e segredos corporativos (Trello, Slack, Dropbox, Google Drive, Github e assim por diante).

 

Complicações com a lei

A prática de credential stuffing é lucrativa ao criminoso independentemente de como ele utiliza as credenciais reutilizáveis. Ele pode, por exemplo, ir à deep web vender os logins da Netflix a preço de banana, e, ao mesmo tempo, extorquir a sua corporação ao ameaçar divulgar informações sigilosas obtidas através do acesso ilegal aos sistemas internos. Isso culmina não apenas em prejuízos financeiros, mas também reputacionais.

É importante lembrar que recentemente, duas legislações relacionadas à proteção de dados sensíveis entraram em cena: a europeia General Data Protection Regulation (GDPR) e a brasileira Lei Geral de Proteção de Dados (LGPD). Ambas estabelecem regras para a coleta, armazenamento e processamento de informações sigilosas de internautas, prevendo, inclusive, multas milionárias para quem não for cuidadoso com esses bytes.

A previsão de especialistas é de que, em 2019, vazamentos de dados irão custar um total de US$ 2,1 trilhões globalmente falando.

 

Ação e reação

Como você pôde observar, credential stuffing é um ataque difícil de controlar — afinal, seu ponto de partida é um vazamento que necessariamente não é de sua empresa e sua eficácia para os criminosos depende se o usuário final possui boas práticas de segurança ou não — evitando reutilizar senhas e adotando credenciais complexas. Sendo assim, é essencial monitorar e ser o primeiro a saber caso credenciais ligadas à sua marca (com emails contendo o seu domínio) estejam expostas na web.

E é exatamente por isso que existe a Hashcast, nossa solução composta por centenas de bots que vasculham canais públicos e privados da internet em busca de senhas compartilhadas em serviços como Pastebin (e suas dezenas de similares) ou dados vendidos em fóruns da deep & darkweb. Uma vez que os robôs encontrem algo, eles são capazes de emitir notificações em tempo real (por email ou SMS) para que a sua empresa possa reagir o mais rápido possível, orientando que seus colaboradores alterem suas senhas.

Só no ano de 2018 o nosso monitoramento de Whatsapp, Telegram, Discord, Facebook e da darkweb, rendeu mais de 17 milhões de novas credenciais vazadas, adicionadas ao nosso banco de dados com 1.8 bilhões de credenciais. São mais de 150 mil empresas brasileiras nessa lista. Entre em contato e conheça mais detalhes da solução.

 

Confira o infográfico

Infográfico Hashcast

Compartilhe o infográfico em seu site:

 

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Rodrigo Dutra

Profissional de marketing holístico formado em comunicação pela ESPM e Administração pelo Insper. Sou guiado pela curiosidade e não tenho medo de sujar as mãos. Estou fazendo meu melhor trabalho quando junto criatividade e estratégia.