Hacker vende dados de usuários da Estante Virtual e outros cinco serviços online

Hacker coloca à venda na dark web 26 milhões de cadastros obtidos de seis serviços online

Felipe Ventura
Por
• Atualizado há 2 anos e 10 meses
Cadeado - segurança

Após três enormes vazamentos de dados, o hacker conhecido como “Gnosticplayers” está de volta: ele colocou à venda na dark web 26,42 milhões de cadastros obtidos de seis serviços online, incluindo da brasileira Estante Virtual — a empresa nega que foi comprometida. Os dados custam cerca de US$ 5 mil no total.

Esta semana, o hacker colocou a venda um novo lote de informações obtidas de seis empresas: GameSalad, plataforma de desenvolvimento de jogos; Coubic, para agendamentos de empresas; LifeBear, que reúne notas e listas de tarefas; YouthManual, site de carreiras para estudantes na Indonésia; Bukalapak, gigante indonésio de e-commerce; e a Estante Virtual.

A Estante Virtual serve como intermediária para sebos e livreiros que querem vender livros usados através da internet; ela também trabalha com produtos novos. A plataforma foi lançada em 2005 e adquirida pela Livraria Cultura em 2017.

Em comunicado ao Tecnoblog, a Estante Virtual diz: “apuramos os relatos e não identificamos qualquer evidência de vazamentos de informações no portal”. A empresa afirma que está “constantemente melhorando os sistemas de controle de acesso e proteção dos dados dos usuários no site”.

Enquanto isso, as japonesas Coubic e LifeBear reconheceram que foram vítimas de um vazamento de dados e pediram desculpas aos usuários. “A senha para gerenciar nosso servidor foi parcialmente vazada”, explica a Coubic. “Pedimos desculpas por causar qualquer inconveniência ou preocupação aos nossos clientes e terceiros”, diz a LifeBear.

“Ver essa falta de segurança em 2019 me deixa com raiva”

O hacker GnosticPlayers diz que obteve cinco das seis bases de dados através de invasões ocorridas em fevereiro de 2019 — não se trata de dados antigos. Ele conta à ZDNet que colocou as credenciais à venda porque as empresas não protegeram as senhas dos usuários com algoritmos de criptografia fortes, como o bcrypt.

“Fiquei irritado porque acho que ninguém está aprendendo”, disse o hacker à ZDNet. “Eu me senti chateado neste momento em particular, porque ver essa falta de segurança em 2019 me deixa com raiva.”

Segundo o GnosticPlayers, nem todos os dados obtidos de empresas hackeadas foram postos à venda. Algumas startups cederam às tentativas de extorsão e pagaram um valor para que suas informações não fossem vazadas. “Não posso publicar o restante dos meus bancos de dados nem mesmo mencionar o nome das empresas”, ele diz.

Estes são os serviços afetados:

  • Bukalapak: 13 milhões de contas (incluindo senhas criptografadas) obtidas em julho de 2017
  • Coubic: 1,5 milhão de contas (incluindo senhas criptografadas) obtidas em fevereiro de 2019
  • Estante Virtual: 5,45 milhões de contas (incluindo senhas criptografadas) obtidas em fevereiro de 2019
  • GameSalad: 1,5 milhão de contas (incluindo senhas criptografadas) obtidas em fevereiro de 2019
  • LifeBear: 3,86 milhões de contas (incluindo senhas criptografadas) obtidas em fevereiro de 2019
  • YouthManual.com: 1,12 milhão de contas (incluindo senhas criptografadas) obtidas em fevereiro de 2019

No mês passado, o GnosticPlayers colocou à venda mais de 840 milhões de registros de usuários, vindos de 32 serviços diferentes como Dubsmash, MyFitnessPal, Fotolog, 500px, Legendas.tv, Gfycat e outros. Os dados são vendidos no mercado negro Dream Market.

Com informações: ZDNet.

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Temas populares