Hacker vende 220 milhões de contas roubadas do Legendas.tv, Gfycat e mais

Hacker vaza credenciais de Legendas.tv, Gfycat, Coinmama e YouNow; em alguns casos, isso inclui senhas em texto puro e e-mail

Felipe Ventura
• Atualizado há 2 anos e 11 meses
Ilustração de segurança em computador (imagem: Flickr/Visual Content)

Falamos na semana passada sobre um hacker que está vendendo 617 milhões de contas roubadas de 16 sites, vindas de vazamentos antigos e novos. Desta vez, o mesmo invasor colocou à venda mais 220 milhões de credenciais, obtidas de serviços como Legendas.tv, Ge.tt, Gfycat, Coinmama e YouNow. Em alguns casos, isso inclui senhas em texto puro e endereços de e-mail.

Essas credenciais estão sendo vendidas na dark web por uma conta chamada “Gnosticplayers”. Em entrevista à ZDNet, o responsável diz que hackeou os sites em questão e que não é apenas um intermediário.

Assim como antes, o hacker está vendendo alguns dados que vazaram há tempos. É o caso do Legendas.tv: a base de dados contém 3,86 milhões de credenciais obtidas em 2017, incluindo nome de usuário, senha em texto puro, endereço de e-mail e endereço IP.

O Legendas.tv oferece legendas de séries e filmes, e requer que o usuário esteja logado para fazer download. No entanto, o site não utiliza HTTPS, nem mesmo na página de login e de cadastro. Isso significa que as credenciais são transmitidas sem criptografia.

Há também alguns vazamentos recentes na lista: as credenciais do Ixigo (comparação de voos e hotéis) e Roll20.net (jogos de tabuleiro virtuais) têm data de janeiro de 2019. A lista completa dos serviços vazados segue no final do post.

No total, são 16 bases de dados com credenciais vazadas que estão à venda no Dream Market, mercado da dark web, por valores entre US$ 220 e US$ 11 mil. Somadas, elas custam cerca de US$ 25 mil.

Alguns serviços estão avisando seus usuários sobre o vazamento e recomendando que troquem a senha, como Roll20.net e Coinmama (compra de criptomoedas). Outros abriram uma investigação sobre o caso, incluindo Gfycat (busca por GIFs) e ClassPass (aulas de academia). Enquanto isso, alguns sites ainda não se pronunciaram, como o Legendas.tv e Ge.tt (compartilhamento de arquivos).

Hacker quer “dinheiro e derrocada dos porcos americanos”

O Gnosticplayers diz que planeja vender mais de um bilhão de credenciais vazadas e desaparecer com o dinheiro. Ele vai vender novas bases de dados, incluindo de uma casa de câmbio de criptomoedas. “Meus dois principais objetivos são: dinheiro e a derrocada dos porcos americanos”, afirmou ele à ZDNet.

Muitos dos sites invadidos usam o mesmo software de banco de dados, chamado PostgreSQL. O pesquisador de segurança Ariel Ainhoren explica ao TechCrunch que o hacker pode ter usado a mesma falha de segurança para atacá-los, reunir os dados em um arquivo e baixá-lo.

Jonathan Katz, que colabora no projeto de código aberto PostgreSQL, diz: “atualmente não temos conhecimento de quaisquer vulnerabilidades corrigidas ou nãocorrigidas que possam ter causado esses vazamentos”.

16 serviços foram afetados por vazamentos

Estes são os 16 serviços afetados, em ordem alfabética:

  • ClassPass: 1,5 milhão de contas (incluindo senhas criptografadas) obtidas em 2018
  • Coinmama: 420 mil contas (incluindo senhas criptografadas) obtidas em agosto de 2018
  • Ge.tt: 1,83 milhão de contas (incluindo senhas criptografadas) obtidas em dezembro de 2017
  • Gfycat: 8 milhões de contas (incluindo senhas criptografadas) obtidas em 2018
  • Houzz: 57 milhões de contas (incluindo senhas criptografadas) obtidas em julho de 2018
  • Ixigo: 18 milhões de contas (incluindo senhas criptografadas) obtidas em janeiro de 2019
  • Jobandtalent: 11 milhões de contas (incluindo senhas criptografadas) obtidas em fevereiro de 2018
  • Legendas.tv: 3,86 milhões de contas (incluindo senhas em texto puro) obtidas em outubro de 2017
  • Onebip: 2,6 milhões de contas (incluindo senhas em texto puro) obtidas em outubro de 2017
  • Petflow: 1 milhão de contas (incluindo senhas criptografadas) obtidas em 2017
  • Pizap: 60,8 milhões de contas (incluindo senhas criptografadas) obtidas em 2018
  • Roll20.net: 4 milhões de contas (incluindo senhas criptografadas) obtidas em janeiro de 2019
  • StoryBird: 4 milhões de contas (incluindo senhas criptografadas) obtidas em 2015
  • StreetEasy: 1 milhão de contas (incluindo senhas criptografadas) obtidas em maio de 2018
  • StrongHoldKingdoms: 5 milhões de contas (incluindo senhas criptografadas) obtidas em setembro de 2018
  • YouNow: 40 milhões de contas (sem dados de senha) obtidas em outubro de 2017

A primeira leva de dados vazados, com 617 milhões de contas, incluía dados de outros 16 serviços. Alguns desses vazamentos são antigos: é o caso do MyFitnessPal, ocorrido em 2017. No entanto, outros são recentes — como 500px, EyeEm e Fotolog.

Com informações: ZDNet, TechCrunch.

Leia | Como recuperar um Facebook hackeado

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.