Hacker vende dados de usuários da Estante Virtual e outros cinco serviços online
Hacker coloca à venda na dark web 26 milhões de cadastros obtidos de seis serviços online
Hacker coloca à venda na dark web 26 milhões de cadastros obtidos de seis serviços online
Após três enormes vazamentos de dados, o hacker conhecido como “Gnosticplayers” está de volta: ele colocou à venda na dark web 26,42 milhões de cadastros obtidos de seis serviços online, incluindo da brasileira Estante Virtual — a empresa nega que foi comprometida. Os dados custam cerca de US$ 5 mil no total.
Esta semana, o hacker colocou a venda um novo lote de informações obtidas de seis empresas: GameSalad, plataforma de desenvolvimento de jogos; Coubic, para agendamentos de empresas; LifeBear, que reúne notas e listas de tarefas; YouthManual, site de carreiras para estudantes na Indonésia; Bukalapak, gigante indonésio de e-commerce; e a Estante Virtual.
A Estante Virtual serve como intermediária para sebos e livreiros que querem vender livros usados através da internet; ela também trabalha com produtos novos. A plataforma foi lançada em 2005 e adquirida pela Livraria Cultura em 2017.
Em comunicado ao Tecnoblog, a Estante Virtual diz: “apuramos os relatos e não identificamos qualquer evidência de vazamentos de informações no portal”. A empresa afirma que está “constantemente melhorando os sistemas de controle de acesso e proteção dos dados dos usuários no site”.
Enquanto isso, as japonesas Coubic e LifeBear reconheceram que foram vítimas de um vazamento de dados e pediram desculpas aos usuários. “A senha para gerenciar nosso servidor foi parcialmente vazada”, explica a Coubic. “Pedimos desculpas por causar qualquer inconveniência ou preocupação aos nossos clientes e terceiros”, diz a LifeBear.
O hacker GnosticPlayers diz que obteve cinco das seis bases de dados através de invasões ocorridas em fevereiro de 2019 — não se trata de dados antigos. Ele conta à ZDNet que colocou as credenciais à venda porque as empresas não protegeram as senhas dos usuários com algoritmos de criptografia fortes, como o bcrypt.
“Fiquei irritado porque acho que ninguém está aprendendo”, disse o hacker à ZDNet. “Eu me senti chateado neste momento em particular, porque ver essa falta de segurança em 2019 me deixa com raiva.”
Segundo o GnosticPlayers, nem todos os dados obtidos de empresas hackeadas foram postos à venda. Algumas startups cederam às tentativas de extorsão e pagaram um valor para que suas informações não fossem vazadas. “Não posso publicar o restante dos meus bancos de dados nem mesmo mencionar o nome das empresas”, ele diz.
Estes são os serviços afetados:
No mês passado, o GnosticPlayers colocou à venda mais de 840 milhões de registros de usuários, vindos de 32 serviços diferentes como Dubsmash, MyFitnessPal, Fotolog, 500px, Legendas.tv, Gfycat e outros. Os dados são vendidos no mercado negro Dream Market.
Com informações: ZDNet.