Roubo de informações: empresas informam sobre dados vazados na web
Em março, um hacker invadiu o servidor do site de jogos gratuito Gamigo. Ele roubou nomes de usuários, endereços de e-mail e senhas de um número não revelado de clientes, postando alguns desses dados em fóruns da empresa. Três meses depois, alguém postou mais de oito milhões de registros em um fórum de quebra de senha, incluindo contas conectadas a funcionários com endereço de e-mail de grandes empresas como IBM, Deustche Bank e ExxonMobil. Tais vazamentos se tornaram mais comuns, levando um grupo de especialistas em segurança a compilar as listas públicas em um serviço, o PwnedList. Segundo Steve Thomas, cofundador da empresa, pelo serviço básico – ver se uma conta conectada a um endereço de e-mail foi comprometida – ser gratuito, as empresas podem se beneficiar verificando se seus funcionários ou seus usuários comprometeram contas.
Curta, no Facebook, a Fan Page do IT Web
“Nós monitoramos domínios para empresas que estão preocupadas com sua segurança interna e seus funcionários, mas recebemos pedidos de pessoas – empresas – para capacitá-los a monitorar seus usuários finais. Eles podem nos usar como sua lista negra de credenciais roubadas”.
A empresa não sofre com escassez de coleta de dados. Fundada em julho de 2011, coletou informações de pouco menos de 400 vazamentos até o final do ano passado. Nove meses depois, já linha uma lista com mais de mil vazamentos e adiciona 150 listas a cada mês. Os sites conhecidos por vazamentos de listas são verificados a cada dez minutos, enquanto novos são buscados a cada hora.
Apesar de os vazamentos não serem tão extensos quanto os da Gamigo – mesmo o grande vazamento da Sony com mais de 75 milhões de registros resultou “apenas” em 1 milhão de contas vazadas – os hacktivistas fizeram de 2011 o ano dos dados de conta vazados, roubando mais informações do que o crime organizado.
Para empresas, manter o controle dos vazamentos e ordená-los por conta própria é difícil, mas também podem perder a coleta de alguns dados. Os dados sobre os usuários do Gamigo, por exemplo, foram retirados e já não estão disponíveis. Os dados colocados no Pastebin também são removidos rapidamente.
“Temos acesso a informações furtadas que a maioria dos invasores nem têm conhecimento. Nunca poderemos afirmar que temos 100% de cobertura, mas em termos de fonte realmente confiável, estamos à frente de várias equipes de segurança”, afirmou Thomas.
O serviço ultrapassou outras empresas do mesmo nicho, como a AllClearID e Lifelock, que oferecem serviços para consumidores preocupados com suas identidades, mas são mais populares para empresas que já sofreram vazamentos.
Em setembro, o serviço de gerenciamento de identidade e senhas LastPass anunciou que usaria o serviço da PwnedList para identificar seus usuários e contas que poderiam ser roubadas. Segundo Amber Gott, porta-voz da LastPass, no futuro, todos os serviços desse gênero começarão a usar essa oferta. “Uma porcentagem de nossos usuários são ativos no espaço de segurança a podem verificar as listas nesses sites conhecidos, mas a média de usuários ou gerentes de TI não quer ter esse trabalho. Essa é uma maneira de conseguir informação importante e alertar o usuário quase que imediatamente”, ela acrescentou.
Apesar de o serviço proteger funcionários e clientes de invasores que usam listas publicadas, a cobertura é esparsa. Hackitivistas costumam publicar as credenciais descobertas em seus ataques, mas cibercriminosos as vendem no mercado negro, que não têm o alcance do PwnedList. Em 2011, os hacktivistas roubaram cem milhões das 174 milhões de contas registradas pela Verizon Data Breach Investigation Report.
“Não é um problema que pode ser resolvido da maneira convencional. Vamos atrás do problema principal de todas essas credenciais que são vazadas – dezenas de milhões a cada ano. Tentamos ajudar as pessoas a entenderem se foram impactadas”, finalizou Thomas.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
