Início » Antivírus e Segurança » Hacker vende 220 milhões de contas roubadas do Legendas.tv, Gfycat e mais

Hacker vende 220 milhões de contas roubadas do Legendas.tv, Gfycat e mais

Hacker vaza credenciais de Legendas.tv, Gfycat, Coinmama e YouNow; em alguns casos, isso inclui senhas em texto puro e e-mail

Felipe Ventura Por

Falamos na semana passada sobre um hacker que está vendendo 617 milhões de contas roubadas de 16 sites, vindas de vazamentos antigos e novos. Desta vez, o mesmo invasor colocou à venda mais 220 milhões de credenciais, obtidas de serviços como Legendas.tv, Ge.tt, Gfycat, Coinmama e YouNow. Em alguns casos, isso inclui senhas em texto puro e endereços de e-mail.

Notebook (Imagem: Flickr/Visual Content)

Essas credenciais estão sendo vendidas na dark web por uma conta chamada “Gnosticplayers”. Em entrevista à ZDNet, o responsável diz que hackeou os sites em questão e que não é apenas um intermediário.

Assim como antes, o hacker está vendendo alguns dados que vazaram há tempos. É o caso do Legendas.tv: a base de dados contém 3,86 milhões de credenciais obtidas em 2017, incluindo nome de usuário, senha em texto puro, endereço de e-mail e endereço IP.

O Legendas.tv oferece legendas de séries e filmes, e requer que o usuário esteja logado para fazer download. No entanto, o site não utiliza HTTPS, nem mesmo na página de login e de cadastro. Isso significa que as credenciais são transmitidas sem criptografia.

Há também alguns vazamentos recentes na lista: as credenciais do Ixigo (comparação de voos e hotéis) e Roll20.net (jogos de tabuleiro virtuais) têm data de janeiro de 2019. A lista completa dos serviços vazados segue no final do post.

No total, são 16 bases de dados com credenciais vazadas que estão à venda no Dream Market, mercado da dark web, por valores entre US$ 220 e US$ 11 mil. Somadas, elas custam cerca de US$ 25 mil.

Alguns serviços estão avisando seus usuários sobre o vazamento e recomendando que troquem a senha, como Roll20.net e Coinmama (compra de criptomoedas). Outros abriram uma investigação sobre o caso, incluindo Gfycat (busca por GIFs) e ClassPass (aulas de academia). Enquanto isso, alguns sites ainda não se pronunciaram, como o Legendas.tv e Ge.tt (compartilhamento de arquivos).

Hacker quer “dinheiro e derrocada dos porcos americanos”

O Gnosticplayers diz que planeja vender mais de um bilhão de credenciais vazadas e desaparecer com o dinheiro. Ele vai vender novas bases de dados, incluindo de uma casa de câmbio de criptomoedas. “Meus dois principais objetivos são: dinheiro e a derrocada dos porcos americanos”, afirmou ele à ZDNet.

Muitos dos sites invadidos usam o mesmo software de banco de dados, chamado PostgreSQL. O pesquisador de segurança Ariel Ainhoren explica ao TechCrunch que o hacker pode ter usado a mesma falha de segurança para atacá-los, reunir os dados em um arquivo e baixá-lo.

Jonathan Katz, que colabora no projeto de código aberto PostgreSQL, diz: “atualmente não temos conhecimento de quaisquer vulnerabilidades corrigidas ou nãocorrigidas que possam ter causado esses vazamentos”.

16 serviços foram afetados por vazamentos

Estes são os 16 serviços afetados, em ordem alfabética:

  • ClassPass: 1,5 milhão de contas (incluindo senhas criptografadas) obtidas em 2018
  • Coinmama: 420 mil contas (incluindo senhas criptografadas) obtidas em agosto de 2018
  • Ge.tt: 1,83 milhão de contas (incluindo senhas criptografadas) obtidas em dezembro de 2017
  • Gfycat: 8 milhões de contas (incluindo senhas criptografadas) obtidas em 2018
  • Houzz: 57 milhões de contas (incluindo senhas criptografadas) obtidas em julho de 2018
  • Ixigo: 18 milhões de contas (incluindo senhas criptografadas) obtidas em janeiro de 2019
  • Jobandtalent: 11 milhões de contas (incluindo senhas criptografadas) obtidas em fevereiro de 2018
  • Legendas.tv: 3,86 milhões de contas (incluindo senhas em texto puro) obtidas em outubro de 2017
  • Onebip: 2,6 milhões de contas (incluindo senhas em texto puro) obtidas em outubro de 2017
  • Petflow: 1 milhão de contas (incluindo senhas criptografadas) obtidas em 2017
  • Pizap: 60,8 milhões de contas (incluindo senhas criptografadas) obtidas em 2018
  • Roll20.net: 4 milhões de contas (incluindo senhas criptografadas) obtidas em janeiro de 2019
  • StoryBird: 4 milhões de contas (incluindo senhas criptografadas) obtidas em 2015
  • StreetEasy: 1 milhão de contas (incluindo senhas criptografadas) obtidas em maio de 2018
  • StrongHoldKingdoms: 5 milhões de contas (incluindo senhas criptografadas) obtidas em setembro de 2018
  • YouNow: 40 milhões de contas (sem dados de senha) obtidas em outubro de 2017

A primeira leva de dados vazados, com 617 milhões de contas, incluía dados de outros 16 serviços. Alguns desses vazamentos são antigos: é o caso do MyFitnessPal, ocorrido em 2017. No entanto, outros são recentes — como 500px, EyeEm e Fotolog.

Com informações: ZDNet, TechCrunch.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Tiago Celestino

É só abrir o código, seria mais eficiente.

raphael_silva

Não lembro detalhes.

Baio-kun

Nunca mais usei o legendas.tv depois que descobri que da pra "streamar" a legenda nativamente no media player classic. Tão mais pratico.

paulo yan

Quem? Quando?

raphael_silva

Sim.

paulo yan

Sério isso?

DanielBastos

*ligar=logar

Keaton

Vish... hahaha

raphael_silva

Não necessariamente, perguntei até pra minha prima no whatsapp que é advogada.

Keaton

Hum.... mas no caso... legalmente falando adquirir não significaria comprar?

raphael_silva

2o Na mesma pena do § 1o incorre quem, com o intuito de lucro direto ou indireto, distribui, vende, expõe à venda, aluga, introduz no País, adquire, oculta, tem em depósito, original ou cópia de obra intelectual ou fonograma reproduzido com violação do direito de autor, do direito de artista intérprete ou executante ou do direito do produtor de fonograma, ou, ainda, aluga original ou cópia de obra intelectual ou fonograma, sem a expressa autorização dos titulares dos direitos ou de quem os represente. (Redação dada pela Lei nº 10.695, de 1º.7.2003)

Keaton

Esqueceu da questão do lucro indireto. :p

Keaton

Pelo que lembro, precisa ter lucro direto ou indireto. Art. 184 do Código Penal - Decreto Lei 2848/40

Lucro direto: venda de material protegido sem a devida autorização.

Lucro indireto: uso do material protegido sem a devida autorização visando o lucro. Ex.: tocar música/passar video que não comprou a licensa em boates.

Quanto a download pra uso pessoal, não lembro se tem problema.

Keaton

Outro site conhecido que faz (ou fazia) isso é o BalaoDaInformatica.... ao invés de gerar senhas novas, eles te enviam a antiga...

PugOfWar

acho que quando fecharem a internet, esse vai ser um dos últimos sites

Exibir mais comentários