Essa semana foi divulgado um novo vazamento de dados, que expôs mais de 87 GB de documentos contendo listas de e-mails e senhas. Foram vazados 773 milhões de endereços de e-mail únicos, além de mais de 21 milhões de senhas únicas. Segundo Troy Hunt, pesquisador de Segurança que relatou o vazamento, as informações haviam sido disponibilizadas no serviço de armazenamento na nuvem MEGA e em um fórum de hackers.
Hunt batizou a brecha como Collection #1, em que as informações reunidas nos arquivos vieram de mais de duas mil fontes distintas, que tiveram a segurança quebrada por invasores em algum momento a partir de 2015. O pesquisador encara esse incidente como o mais sério da história, pois os dados não estavam à venda na deep web, mas disponíveis na internet para quem quisesse acessar.
Os dados obtidos por Hunt somavam mais de 2,7 bilhões de endereços, incluindo um bilhão de combinações únicas de e-mails e senhas, mas o pesquisador limpou os dados duplicados e inutilizáveis para chegar no número real do incidente. O caso é considerado o maior devido à quantidade de pessoas impactadas, ficando à frente do vazamento de contas da Yahoo, ocorrido em 2013, que atingiu cerca de 1 bilhão de usuários.
Matheus Jacyntho, especialista em Segurança da Informação da Protiviti, consultoria global de compliance e gestão de risco, acredita que as credenciais têm origem em múltiplos vazamentos de diferentes sites da internet. “Este incidente de segurança representa a coletânea de centenas de outros ocorridos nos últimos anos, sendo que a causa raiz de cada fonte pode estar relacionada aos ataques digitais ou divulgações internas”, defende.
Consequência e prevenção
O grande risco de um incidente como esse é o usuário ser vítima de uma modalidade de ataque em que um cibercriminoso usa os dados para acessar outros serviços, roubar identidade digital ou dinheiro e comprometer os dados da rede social.
Para mitigar os riscos, Matheus Jacyntho recomenda que as empresas realizem regularmente treinamentos de conscientização de segurança da informação para seus colaboradores, bem como simulações periódicas de ataques digitais, como por exemplo e-mail spam e phishing.
“Adicionalmente, é importante orientar os colaboradores das empresas para não utilizar e-mails corporativos para cadastros em mídias sociais ou outros sites pessoais, pois é comum reutilizar as mesmas senhas em ambiente corporativo”, alerta o executivo.
Para este e outros tipos de ataques digitais, ele recomenda um trabalho focado em três elementos principais:
Pessoas – Treinamento e conscientização dos colaboradores em relação à segurança digital e comportamento seguro;
Processos – Gestão de controles e políticas de segurança da informação, aplicados no ambiente corporativo;
Ferramentas – Utilizar ferramentas que otimizem e atuem de forma proativa no ambiente para detectar e mitigar ameaças digitais.
“Podemos observar uma tendência nas empresas em se preparar melhor para mitigar estes riscos bem como de conscientização sobre riscos financeiros e reputacionais que este tipo de incidente causa. Ao mesmo tempo, a melhoria das técnicas e conhecimentos de hackers tem aumentado e se sofisticado, o que aumenta a vulnerabilidade das empresas e exige mais e mais investimentos em prevenção”, finaliza Jacyntho.
Troy Hunt mantém o site Have I Been Pwned, uma plataforma que qualquer pessoa pode descobrir se seu e-mail ou senha já foram comprometidos em alguma brecha.