Information Leakage

Vazamento de credenciais e a Lei Geral de Proteção de Dados (LGPD)

Por Fábio Ramos em
COMPARTILHAR

Uma pesquisa realizada em 2017 identificou que 81% dos ataques que culminam na extração de dados sensíveis acontecem através de um acesso legítimo em um sistema interno, usando credenciais vazadas (leia-se login e senha).

 

Por que é tão eficaz (para um hacker) usar senhas vazadas na execução do ataque?

Esse mesmo estudo -penso que nem precisaríamos desse estudo para chegar nessa conclusão -, afirma que nós seres humanos usamos no máximo 3 senhas diferentes para acessar todos os nossos sistemas. Uma grande maioria das pessoas usa a mesma senha com pequenas variações. Ou seja, é bem provável que a senha do seu email seja a mesma senha que você usa em sua rede social favorita ou que o PIN de acesso a sua conta no banco seja a mesma do seu cofre em casa.

A técnica de usar senhas vazadas de outros sistemas e tentar usá-la em todo e qualquer sistema, se chama credential stuffing.

 

Como funciona o ataque, passo a passo:

  • Primeiro é necessário encontrar uma lista de credenciais vazadas. Digamos que o criminoso conseguiu um arquivo com 100 mil logins e senhas vazados de um aplicativo popular (acredite, isso é mais fácil do que você imagina).
  • Velocidade é o segredo do negócio, até mesmo porque ele vai competir contra outros criminosos tentando "monetizar" a mesma lista. Ele filtrará todas as credenciais associadas a domínios corporativos. Primeiro selecionará somente domínios .com.br e depois excluirá da lista domínios de sites de email gratuito (Ex.: bol.com.br, uol.com.br). O objetivo aqui é identificar credenciais que possam dar acesso a dados de empresas.
  • Em uma lista de 100 mil credenciais, em média 3.8%, se enquadram nesses critérios! Agora o criminoso precisa verificar se consegue acessar o email corporativo da vítima com o login e senha capturado.
  • Digamos que a vítima fui eu. Meu email é fabio@axur.com. Com o endereço já sei em qual empresa a vítima trabalha. Agora preciso descobrir qual o serviço de email usado. Para isso você precisa seguir o passo-a-passo digitando os comandos em bold na caixa cinza abaixo:

 

Microsoft Windows 
© 2018 Microsoft Corporation. Todos os direitos reservados.
C:\>nslookup
Servidor Padrão: dns1.gigadns.com.br
Address: 189.38.95.95
> set type=mx
>
axur.com
Servidor: dns1.gigadns.com.br
Address: 189.38.95.95
Não é resposta autoritativa:
axur.com MX preference = 10, mail exchanger = alt2.aspmx.l.google.com
axur.com MX preference = 20, mail exchanger = aspmx2.googlemail.com
axur.com MX preference = 20, mail exchanger = aspmx3.googlemail.com
axur.com MX preference = 20, mail exchanger = aspmx4.googlemail.com
axur.com MX preference = 20, mail exchanger = aspmx5.googlemail.com
axur.com MX preference = 0, mail exchanger = aspmx.l.google.com
axur.com MX preference = 10, mail exchanger = alt1.aspmx.l.google.com
>


Veja a primeira linha depois de “Não é resposta autoritativa:” e voilà: alt2.aspmx.l.google.com

  • Bom, agora todos sabem que aqui na Axur nós usamos o serviço de email do Google. Poderia ser smtp.axur.com e então você só precisaria testar o acesso ao email corporativo.

 

Sucesso é questão de tempo e paciência.

No volume, as chances de encontrar uma credencial válida para email corporativo são de 6 para 100. Parece pouco, mas é importante lembrar que diariamente são disponibilizadas listas de grandes e micro vazamentos. Em um "dia bom" chegamos a identificar até 10 mil credenciais únicas na deep & darkweb. São credenciais de centenas de milhares de empresas. Ou seja, de cada 10 mil credenciais 380 tem valor corporativo. Das 380, dentre 20 a 25 serão "quentes".

Acessando esses sistemas internos como o email corporativo o criminoso pode facilmente se passar por um usuário legítimo e requisitar informações de outras áreas ou, se ele tiver sorte, poderá encontrar informações valiosas na inbox da conta invadida.

 

Saber primeiro para agir rápido

A melhor maneira de se proteger contra a repercussão de um vazamento de dados é sendo rápido (sabendo primeiro) e agindo com responsabilidade e transparência total. Se você estiver monitorando o vazamento de informações ou credenciais na web superficial, deep ou dark web, poderá

(a) identificar o incidente,

(b) escalar internamente

(c) avisar os clientes e em casos mais drásticos

(d) levar o assunto, com uma resposta estruturada, para as autoridades policiais e reguladoras.

 

Lei Geral de Proteção de Dados (LGPD) e o vazamento dos dados

A LGPD (Lei nº 13.709), que entrou em vigência em agosto de 2018 deu 18 meses para que as empresas se preparem para cumprir com as novas obrigações. Ao longo do seu texto deixa claro as penalidades para empresas que violarem o sigilo dos dados que mantem sob sua custódia:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I — advertência, com indicação de prazo para adoção de medidas corretivas;

II — multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

(…)

Na prática significa que a Autoridade Nacional de Proteção de Dados (ANPD), que ainda não existe mas será criada, poderá aplicar multas milionárias aos infratores. Um ponto a se destacar é a simplicidade com que se pode materializar um vazamento de dados. Ou seja, ao contrário das agências reguladoras tradicionais que consomem tempo e recursos para materializar os malfeitos das empresas sob o seu guarda-chuva, o vazamento de dados poderá ser facilmente identificado e comprovado, bastando a validação do usuário lesado.

 

Para quem está curioso para saber sobre o padrão da senha do brasileiro

Para quem tem interesse em ler mais sobre senhas frágeis, recomendo a leitura do nosso artigo Perfil da Senha do Brasileiro onde dissecamos uma base de milhões de senhas vazadas de domínios ".com.br" e mostramos quais são as combinações mais usadas dentre outras curiosidades.

Se você quer saber se sua empresa está na lista de empresas com vazamento, acesse hashcast.axur.com e faça o teste em tempo real.

Até a próxima!

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Fábio Ramos

Fundador e CEO da Axur, onde protegemos a presença digital e a relação de confiança entre empresas (marcas) e seus públicos.