26 bilhões de contas aparecem em maior vazamento da história

Grupo de cibersegurança encontrou “pacotão” de contas que reúne informações de vazamentos anteriores. Dados do governo brasileiro integram a lista

Por Felipe Freitas

há 3 meses

Pacotão de contas vazadas foi disponibilizado por hackers — ou um único hacker (imagem ilustrativa: Vitor Pádua/Tecnoblog)

Um pacote de 26 bilhões de dados foi encontrado pela Security Discovery, um grupo de cibersegurança. O grande número é resultado da compilação de informações de vazamentos anteriores — e é praticamente certo que há dados duplicados. A maior parte das informações é oriunda de um leak da Tencent, mas também há registros de órgãos públicos do Brasil.

O maior risco desse compilado de contas está relacionado com senhas repetidas. Os possíveis compradores ou grupo cracker que está com o pacotão de dados pode usar as senhas vazadas para tentar entrar em outras contas — ainda que essas informações sejam antigas.

Por exemplo, existem 251 milhões de contas do LinkedIn nesse pacote e 281 milhões do Twitter. Em 2016, 164 milhões de contas da plataforma tiveram suas senhas vazadas. O usuário que trocou a senha do LinkedIn na época, mas ainda usa o mesmo código em outro serviço está em risco. Assim, um cibercriminoso pode tentar usar a senha do LinkedIn no Twitter, já que alguns emails dos usuários foram vazados em 2022.

Serviços chineses são as maiores fontes

Malwares RAT enganam antivírus com arquivos poliglotas (imagem ilustrativa: Vitor Pádua/Tecnoblog) — Mais de 2 bilhões das contas vazadas são de empresas chinesas (Imagem: Vitor Pádua/Tecnoblog)

A Tencent QQ, serviço de mensagem da empresa, e Weibo são as plataformas com maiores números de dados vazados. A Tencent tem 1,5 bilhão de contas no pacote, enquanto o Weibo tem 504 milhões. Fechando o top 5 temos, respectivamente, MySpace (360 milhões), Twitter (281 milhões) e Wattpad (271 milhões).

O Tecnoblog entrou em contato com a Security Discovery para saber se o pacote está à venda ou apenas foi um achado da equipe. Bob Diachenko, diretor de ameaça de ciberinteligência do grupo, explicou que o pacote está disponível no Elasticsearch, um sistema de busca baseado em banco de dados distribuído.

É provável que o megavazamento de 223 milhões de CPFs não integre a lista, já que as 18 maiores fontes não incluem o Brasil — e o Badoo, 18º lugar, é fonte de 127 milhões de dados. No entanto, o ConecteSUS e a Caixa Econômica Federal já foram alvo de hackers no passado, sem vazamentos de grandes proporções.

No site da CyberNews existe uma ferramenta para pesquisar a origem dos dados. A Petrobras, SPTrans e USP são algumas das fontes listadas. Entre as empresas privadas do Brasil estão a Descomplica (vazamento em 2021), Vakinha (vazamento em 2020) e CCAA.

Para conferir se os seus emails foram vazados através do site Have I Been Pwned?, que registra contas vítimas desses cibercrimes. Como os 26 bilhões de dados são um “combo” de vazamento anteriores, você pode checar se seu email integra algum dos bancos de dados divulgados pela Cyber Security.