Em meados de fevereiro, um hacker chamado Gnosticplayer anunciou a venda de um conjunto de banco de dados no Dream Market, um fórum da deep web. Foi a terceira vez que ele fez em 2019, mas nesse caso a treta bateu perto de casa. Entre os pacotes anunciados, estavam informações sobre 3.86 milhões de usuários do Legendas.TV, um dos sites preferidos pelos brasileiros para encontrar legendas para assistir aqueles filmes e séries baixados de maneira menos que legal.

O banco de dados da Legendas.TV está a venda por 0.35 bitcoins, algo em torno de R$ 5.072 na cotação de quinta, dia 28 de fevereiro. As informações foram obtidas em outubro de 2017 e entre elas há o nome de usuário, senha, e-mail e o IP utilizado para acessar o site dos 3.86 milhões de afetados - vale ressaltar que uma mesma pessoa pode ter mais de uma conta.

Tudo bem que, se essas informações forem usadas para acessar uma conta na plataforma, o maior prejuízo é passar vergonha alheia com as preferências audiovisuais do coleguinha. Mas o incidente está longe de ser inofensivo. Graças ao hábito nada recomendável de repetir senhas, pode-se usar os dados vazados para acessar outros serviços. No anúncio há alguns exemplos de senhas usadas, entre elas “123mudar” e “senha2”. Além disso, as informações contidas ali podem ser um ponto de partida para criar ataques de phishing com e-mails maliciosos que tentam enganar o alvo. (O Legendas.TV não respondeu nosso contato. Na página de Facebook do grupo dezenas de pessoas questionavam o vazamento, mas todas ficaram a ver navios.)

O que chama atenção é que o Legendas.TV não tomava cuidados básicos de segurança: as senhas estavam disponíveis em texto puro (normalmente são armazenadas em hash, uma espécie de embaralhamento), e o protocolo de criptografia HTTPS não era utilizado. Mas descuidos como esses não são exclusivos de pequenos grupos brasileiros.

Na verdade, a falta de cultura e investimento em segurança da informação faz com que mesmo empresas gigantescas estejam sujeitos a ataques e invasões. Vazamentos sucessivos de nomes como Sony, Facebook, Equifax, entre outras, deixam isso claro. Não é uma tendência próxima do fim.

Uma pesquisa feita pela Trend Micro com mil executivos americanos de tecnologia mostra que 80% deles acreditam que suas empresas vão sofrer um ataque crítico em 2019. Entre os ativos em maior risco, estão informações de pesquisa e desenvolvimento, segredos comerciais e justamente dados de clientes.

“Há uma falta de cultura e um excesso de confiança nos administradores. Não existe plataforma 100% segura”, diz Leonardo Marciano. “Hoje são encontradas 500 vulnerabilidades diferentes todos os dias.” Leonardo é membro do CCESS, um grupo de hackers brasileiros que faz testes de invasão em instituições financeiras (e na NASA).

Quando encontra uma falha, o CCESS notifica o alvo para seja corrigida - muitas empresas têm programas de recompensas para isso, mas nem sempre é o caso. Seis meses após o contato, o grupo publica o bug, tenha sido ele consertada ou não.

De acordo com Leonardo, um das explicações para o grande número de vulnerabilidades a que empresas estão expostas é a maneira modular como são construídos sites e sistemas. “Quando você desenvolve uma plataforma, você usa diversas outras plataformas, frameworks e aplicações ali. Um erro, uma porta de entrada pode aparecer em qualquer uma delas, assim como configurações equivocadas na hora de fazer a conexão”, explica.

Algo do tipo pode ter ocorrido no vazamento do Legendas.TV. Ariel Ainhoren, pesquisador da israelense InSights ouvido pelo TechCrunch, afirmou que Gnosticplayer pode ter usado uma mesma falha para acessar todos os bancos de dados, já que várias das empresas afetadas usavam um software semelhante, o PostgreSQL.

Ao todo, o hacker já colocou à venda pacotes de dados de usuários de 24 empresas diferentes, o equivalente a quase 840 milhões de contas expostas. Em entrevista ao ZDNet, Gnosticplayer disse que seus dois objetivos são dinheiro e “a queda dos porcos americanos”.

Comparado ao banco de dados vazados de outras companhias, o do Legendas.TV é fichinha. O da Onebip (plataforma de pagamento, 2.6 milhões de contas afetadas) traz também endereço, telefone, informações do PayPal e de bancos, entre outros. O da ClassPass (serviço de assinatura para aulas variadas de exercícios, 1.5 milhões de contas afetadas), têm nome completo, sexo e país de origem.

O pior é que há mercado para a venda dessas informações. No Brasil, por exemplo, o carding é forte. Isso significa usar dados para pedir cartões de crédito no nome de terceiros ou obter acesso direito a um cartão existente.

“Tem demanda, então tem mercado”, fala Leonardo. “Alguns anos atrás, identifiquei uma falha no site da Kalunga que me permitia subir uma página minha no sistema deles. Avisei a empresa de forma responsável, mas um cara queria que eu vendesse essa informação para ele roubar os dados dos clientes.”

No anúncio de venda do banco de dados do Legendas.TV no Dream Market, há apenas um comentário: “1.4m senhas vazias :(“. Mesmo assim, o comprador deu cinco estrelas para o produto.

Corretoras de criptomoedas também na mira

No sábado de 23 de fevereiro, o CCESS publicou dez vulnerabilidades que havia encontrado na Foxbit, uma das maiores corretoras brasileiras de criptomoedas, em outubro do ano passado. A Foxbit já havia corrigido os problemas.

Entre os problemas, estava uma configuração pública do Amazon S3 Public Bucket, espécie de repositório na nuvem — pense no DropBox ou Drive, só que para grandes empresas. Por esse caminho, os membros do grupo conseguiram acessar 15 mil documentos de correntistas da Foxbit, entre eles fotos de documentos como CNH e passaportes, selfies junto a esses documentos (um modelo de autenticação comum em companhias que atuam na internet), comprovantes bancários, entre outros.

Ao todo, a Foxbit anuncia ter mais de 400 mil usuários. “Não acessamos e baixamos todos os arquivos. Mas é possível que existissem informações sobre grande parte dos usuários”, diz Leonardo. Ele explica que os problemas da exchange surgiram quando a empresa migrou a sua infraestrutura para a AlphaPoint, companhia americana que oferece tecnologia de blockchain. “Essa migração foi mal costurada.”

O problema mais crítico foi um repositório exposto com cópias do código-fonte utilizado pela exchange. Entre as informações disponíveis, estavam chaves privadas de algumas carteiras de bitcoin. Segundo Leonardo, isso permitiria desviar de maneira anônima algo em torno de dois mil bitcoins, o equivalente a cerca de R$ 28.5 milhões.

A Foxbit não respondeu a um pedido de comentários. Em nota ao Mundo Hacker, a corretora afirmou que “não houve nenhuma exposição do código fonte da plataforma e não houve exposição do back-end, haja vista que toda atenção foi dada para o caso após o reporte”. A empresa também disse que agiu imediatamente para corrigir as falhas e que não informou aos clientes sobre o caso.