617 milhões de contas roubadas de 16 sites vazam na dark web

Hackers vendem combinações de logins e senhas criptografadas de serviços como Dubsmash, MyFitnessPal, Fotolog e 500px

Felipe Ventura
Por
• Atualizado há 2 anos e 10 meses
Cadeado com senha (imagem ilustrativa: TheDigitalWay/Flickr)

Hackers estão vendendo 617 milhões de combinações de logins e senhas criptografadas. As credenciais vêm de 16 serviços online como Dubsmash, MyFitnessPal, Fotolog e 500px; e estão à venda na dark web por um total de US$ 20 mil em bitcoin. Alguns sites estão resetando as senhas dos usuários e avisando sobre o vazamento. Invasores tentam usar esses dados para acessar contas do Gmail e Facebook.

Alguns desses vazamentos já haviam sido divulgados antes, como é o caso do MyFitnessPal, Animoto e MyHeritage. No entanto, alguns serviços só descobriram esta semana que sofreram um incidente de segurança: 500px, EyeEm, 8fit e DataCamp estão resetando as senhas dos usuários e alertando-os sobre o problema.

Segundo o The Register, todos esses dados estão à venda no Dream Market, acessível somente pela rede Tor. As bases podem ser adquiridas individualmente por valores que variam entre US$ 50 e US$ 2 mil. Somadas, elas custam quase US$ 20 mil.

Os bancos de dados contêm nomes de usuário, endereços de e-mail, e senhas protegidas por hash — isto é, convertidas em uma sequência de letras e números. No entanto, hackers conseguem decifrar essas senhas com algum esforço para testá-las em serviços como Gmail e Facebook.

Em alguns casos, há também o nome completo do usuário, país de origem, endereço IP, idade e gênero. As bases não incluem dados de pagamento nem números de cartão de crédito.

O Register entrou em contato com a pessoa vendendo esses bancos de dados. Ela diz que tem mais 20 bases para vazar na internet, e mantém algumas para uso privado. Além disso, o hacker alega que roubou cerca de um bilhão de contas desde que começou a atuar nessa área em 2012.

A pessoa diz que seu objetivo é tornar a “vida mais fácil” para os hackers, além de ganhar dinheiro e fazer as pessoas se preocuparem mais com segurança online — por exemplo, ativando a autenticação de dois fatores para se proteger contra roubo de senhas.

16 serviços foram afetados por vazamentos

Estes são os 16 serviços cujas credenciais estão à venda na dark web, listados por ordem alfabética:

  • 500px: 15 milhões de contas obtidas em julho de 2018
  • 8fit: 20 milhões de contas obtidas em julho de 2018
  • Animoto: 25 milhões de contas obtidas em 2018
  • Armor Games: 11 milhões de contas obtidas em dezembro de 2018
  • Artsy: 1 milhão de contas obtidas em abril de 2018
  • BookMate: 8 milhões de contas obtidas em julho de 2018
  • CoffeeMeetsBagel: 6 milhões de contas obtidas em 2017 e 2018
  • DataCamp: 700 mil de contas obtidas em dezembro de 2018
  • Dubsmash: 162 milhões de contas obtidas em dezembro de 2018
  • EyeEm: 22 milhões de contas obtidas em fevereiro de 2018
  • Fotolog: 16 milhões de contas obtidas em dezembro de 2018
  • HauteLook: 28 milhões de contas obtidas em 2018
  • MyFitnessPal: 151 milhões de contas obtidas em fevereiro de 2018
  • MyHeritage: 92 milhões de contas obtidas em outubro de 2017
  • ShareThis: 41 milhões de contas obtidas em julho de 2018
  • Whitepages: 18 milhões de contas obtidas em 2016

Com informações: The Register.

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Temas populares