617 milhões de contas roubadas de 16 sites vazam na dark web

Hackers vendem combinações de logins e senhas criptografadas de serviços como Dubsmash, MyFitnessPal, Fotolog e 500px

Felipe Ventura
Por
• Atualizado há 2 anos e 4 meses
Cadeado com senha (imagem ilustrativa: TheDigitalWay/Flickr)

Hackers estão vendendo 617 milhões de combinações de logins e senhas criptografadas. As credenciais vêm de 16 serviços online como Dubsmash, MyFitnessPal, Fotolog e 500px; e estão à venda na dark web por um total de US$ 20 mil em bitcoin. Alguns sites estão resetando as senhas dos usuários e avisando sobre o vazamento. Invasores tentam usar esses dados para acessar contas do Gmail e Facebook.

Alguns desses vazamentos já haviam sido divulgados antes, como é o caso do MyFitnessPal, Animoto e MyHeritage. No entanto, alguns serviços só descobriram esta semana que sofreram um incidente de segurança: 500px, EyeEm, 8fit e DataCamp estão resetando as senhas dos usuários e alertando-os sobre o problema.

Segundo o The Register, todos esses dados estão à venda no Dream Market, acessível somente pela rede Tor. As bases podem ser adquiridas individualmente por valores que variam entre US$ 50 e US$ 2 mil. Somadas, elas custam quase US$ 20 mil.

Os bancos de dados contêm nomes de usuário, endereços de e-mail, e senhas protegidas por hash — isto é, convertidas em uma sequência de letras e números. No entanto, hackers conseguem decifrar essas senhas com algum esforço para testá-las em serviços como Gmail e Facebook.

Em alguns casos, há também o nome completo do usuário, país de origem, endereço IP, idade e gênero. As bases não incluem dados de pagamento nem números de cartão de crédito.

O Register entrou em contato com a pessoa vendendo esses bancos de dados. Ela diz que tem mais 20 bases para vazar na internet, e mantém algumas para uso privado. Além disso, o hacker alega que roubou cerca de um bilhão de contas desde que começou a atuar nessa área em 2012.

A pessoa diz que seu objetivo é tornar a “vida mais fácil” para os hackers, além de ganhar dinheiro e fazer as pessoas se preocuparem mais com segurança online — por exemplo, ativando a autenticação de dois fatores para se proteger contra roubo de senhas.

16 serviços foram afetados por vazamentos

Estes são os 16 serviços cujas credenciais estão à venda na dark web, listados por ordem alfabética:

  • 500px: 15 milhões de contas obtidas em julho de 2018
  • 8fit: 20 milhões de contas obtidas em julho de 2018
  • Animoto: 25 milhões de contas obtidas em 2018
  • Armor Games: 11 milhões de contas obtidas em dezembro de 2018
  • Artsy: 1 milhão de contas obtidas em abril de 2018
  • BookMate: 8 milhões de contas obtidas em julho de 2018
  • CoffeeMeetsBagel: 6 milhões de contas obtidas em 2017 e 2018
  • DataCamp: 700 mil de contas obtidas em dezembro de 2018
  • Dubsmash: 162 milhões de contas obtidas em dezembro de 2018
  • EyeEm: 22 milhões de contas obtidas em fevereiro de 2018
  • Fotolog: 16 milhões de contas obtidas em dezembro de 2018
  • HauteLook: 28 milhões de contas obtidas em 2018
  • MyFitnessPal: 151 milhões de contas obtidas em fevereiro de 2018
  • MyHeritage: 92 milhões de contas obtidas em outubro de 2017
  • ShareThis: 41 milhões de contas obtidas em julho de 2018
  • Whitepages: 18 milhões de contas obtidas em 2016

Com informações: The Register.

Receba mais sobre Vazamento de dados na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Canal Exclusivo

Relacionados

Dono de site na dark web usou bitcoin para lavar US$ 300 milhões
Dono de site na dark web usou bitcoin para lavar US$ 300 milhões
26 bilhões de contas aparecem em maior vazamento da história
26 bilhões de contas aparecem em maior vazamento da história
Telegram vira alternativa à dark web para venda de dados roubados
Telegram vira alternativa à dark web para venda de dados roubados
Por que HTTPS não quer dizer “site seguro”
Por que HTTPS não quer dizer “site seguro”
Hacker vende 220 milhões de contas roubadas do Legendas.tv, Gfycat e mais
Hacker vende 220 milhões de contas roubadas do Legendas.tv, Gfycat e mais
Problema seu: startup de DNA diz que vazamento foi culpa dos clientes
Problema seu: startup de DNA diz que vazamento foi culpa dos clientes
Como funciona o roubo de WhatsApp por QR Code [QRLJacking]
Como funciona o roubo de WhatsApp por QR Code [QRLJacking]
Dona do LastPass revela que ataque de novembro roubou chaves de clientes
Dona do LastPass revela que ataque de novembro roubou chaves de clientes
O que é pharming?
O que é pharming?
O que é um crime cibernético? 3 casos populares
O que é um crime cibernético? 3 casos populares