Hacker vende 220 milhões de contas roubadas do Legendas.tv, Gfycat e mais
Hacker vaza credenciais de Legendas.tv, Gfycat, Coinmama e YouNow; em alguns casos, isso inclui senhas em texto puro e e-mail
Hacker vaza credenciais de Legendas.tv, Gfycat, Coinmama e YouNow; em alguns casos, isso inclui senhas em texto puro e e-mail
Falamos na semana passada sobre um hacker que está vendendo 617 milhões de contas roubadas de 16 sites, vindas de vazamentos antigos e novos. Desta vez, o mesmo invasor colocou à venda mais 220 milhões de credenciais, obtidas de serviços como Legendas.tv, Ge.tt, Gfycat, Coinmama e YouNow. Em alguns casos, isso inclui senhas em texto puro e endereços de e-mail.
Essas credenciais estão sendo vendidas na dark web por uma conta chamada “Gnosticplayers”. Em entrevista à ZDNet, o responsável diz que hackeou os sites em questão e que não é apenas um intermediário.
Assim como antes, o hacker está vendendo alguns dados que vazaram há tempos. É o caso do Legendas.tv: a base de dados contém 3,86 milhões de credenciais obtidas em 2017, incluindo nome de usuário, senha em texto puro, endereço de e-mail e endereço IP.
O Legendas.tv oferece legendas de séries e filmes, e requer que o usuário esteja logado para fazer download. No entanto, o site não utiliza HTTPS, nem mesmo na página de login e de cadastro. Isso significa que as credenciais são transmitidas sem criptografia.
Há também alguns vazamentos recentes na lista: as credenciais do Ixigo (comparação de voos e hotéis) e Roll20.net (jogos de tabuleiro virtuais) têm data de janeiro de 2019. A lista completa dos serviços vazados segue no final do post.
No total, são 16 bases de dados com credenciais vazadas que estão à venda no Dream Market, mercado da dark web, por valores entre US$ 220 e US$ 11 mil. Somadas, elas custam cerca de US$ 25 mil.
Alguns serviços estão avisando seus usuários sobre o vazamento e recomendando que troquem a senha, como Roll20.net e Coinmama (compra de criptomoedas). Outros abriram uma investigação sobre o caso, incluindo Gfycat (busca por GIFs) e ClassPass (aulas de academia). Enquanto isso, alguns sites ainda não se pronunciaram, como o Legendas.tv e Ge.tt (compartilhamento de arquivos).
O Gnosticplayers diz que planeja vender mais de um bilhão de credenciais vazadas e desaparecer com o dinheiro. Ele vai vender novas bases de dados, incluindo de uma casa de câmbio de criptomoedas. “Meus dois principais objetivos são: dinheiro e a derrocada dos porcos americanos”, afirmou ele à ZDNet.
Muitos dos sites invadidos usam o mesmo software de banco de dados, chamado PostgreSQL. O pesquisador de segurança Ariel Ainhoren explica ao TechCrunch que o hacker pode ter usado a mesma falha de segurança para atacá-los, reunir os dados em um arquivo e baixá-lo.
Jonathan Katz, que colabora no projeto de código aberto PostgreSQL, diz: “atualmente não temos conhecimento de quaisquer vulnerabilidades corrigidas ou nãocorrigidas que possam ter causado esses vazamentos”.
Estes são os 16 serviços afetados, em ordem alfabética:
A primeira leva de dados vazados, com 617 milhões de contas, incluía dados de outros 16 serviços. Alguns desses vazamentos são antigos: é o caso do MyFitnessPal, ocorrido em 2017. No entanto, outros são recentes — como 500px, EyeEm e Fotolog.
Com informações: ZDNet, TechCrunch.