O site Have I Been Pwned revelou que 183 milhões de endereços de email únicos presentes em banco de dados com 3,5 terabytes, foram adicionados à sua base de dados. No total, são 23 bilhões de linhas de credenciais roubadas, senhas expostas e históricos de navegação capturados diretamente dos computadores das vítimas.
Muitos dos logins presentes são de serviços utilizados pela maioria de nós, como o Gmail, o Yahoo e o Outlook.
Você pode sentar com calma em frente ao computador e seguir o passo a passo que o TecMundo detalha no final da reportagem para se proteger
Troy Hunt, criador do Have I Been Pwned, não está chamando isso de “vazamento” no sentido tradicional, e tem um bom motivo. Vazamentos convencionais como o da Ashley Madison ou do Dropbox aconteceram em momentos específicos no tempo. Os dados foram roubados, ponto final. Você pode dizer “em agosto de 2015, X dados foram comprometidos”. É um evento com começo, meio e fim.
Stealer logs não funcionam assim. Como Troy descreve, eles são mais como um “firehose” — uma mangueira de incêndio que não para nunca. Novos malwares infectam novas máquinas todos os dias. Novas credenciais são capturadas a cada segundo. Os dados são compartilhados, recompartilhados, agregados, misturados e redistribuídos em um ciclo infinito.
E os números deste conjunto específico, batizado de “Synthient Stealer Log Threat Data”, mostram exatamente isso. Quando Troy testou uma amostra de 94 mil emails do conjunto, descobriu que 92% já tinham sido vistos em outros vazamentos. A maioria veio do ALIEN TXTBASE, um corpus anterior de stealer logs. Mas aqui está o detalhe que importa: os 8% restantes são novos. E 8% de 183 milhões significa 16,4 milhões de endereços de email que nunca tinham aparecido em nenhum vazamento antes.
É claro que o caso é preocupante, mas você pode sentar com calma em frente ao computador e seguir o passo a passo que o TecMundo detalha no final da reportagem para se proteger. Em momentos como esse, é importante manter a calma e se desconectar do alarde que é feito em cima desse tipo de investigação.
O que são stealer logs?
Antes de continuar, você precisa entender o que são stealer logs (ou infostealers), porque eles são a essência de todo esse problema. Stealer logs são os arquivos gerados por infostealers, malwares que infectam seu computador e capturam tudo o que você digita em sites.
Toda vez que você faz login em algum lugar, o malware registra três coisas: o endereço do site, seu e-mail e sua senha. Você faz login no Gmail? Capturado. Acessa sua conta do banco? Capturado. Entra no site de apostas? Capturado também.
A diferença entre um stealer log e um vazamento tradicional é que os tradicionais acontecem quando cibercriminosos invadem servidores e roubam informações armazenadas. Stealer logs capturam suas credenciais em tempo real, direto da sua máquina, enquanto você digita.
O pior é que esses dados são reciclados infinitamente. Troy Hunt explica que “uma vez que os bandidos têm seus dados, eles frequentemente se replicam várias e várias vezes através de numerosos canais e plataformas”.
Pesquisas internas do TecMundo revelaram que dados de brasileiros também foram comprometidos.
O Google se pronunciou sobre o ocorrido e ressalta que nenhum dado foi vazado da big tech. Como aprendemos anteriormente, as informações sensíveis foram interceptadas via malware.
“Os relatos de um suposto vazamento de dados ou violação de segurança do Gmail que afetaria milhões de usuários são completamente imprecisos e incorretos. Eles decorrem de uma interpretação equivocada das atualizações contínuas em bancos de dados de roubo de credenciais, conhecidos como Infostealers, em que os invasores utilizam diversas ferramentas para coletar credenciais, ao invés de um ataque único e específico direcionado a uma pessoa, ferramenta ou plataforma específica. Incentivamos os usuários a seguirem as melhores práticas para se protegerem contra o roubo de credenciais, como ativar a verificação em duas etapas e adotar chaves de acesso como uma alternativa mais forte e segura às senhas, além de redefinir as senhas quando elas forem expostas em grandes lotes como este“, explicou um porta-voz do Google em comunicado.
Telegram: o shopping dos cibercriminosos
Se você acha que a dark web ainda é o epicentro do cibercrime, está desatualizado. O Telegram assumiu esse posto há algum tempo. E a análise técnica da Synthient mostra exatamente como esse ecossistema funciona.
Existem três tipos principais de personagens nessa história:
- Os Primary Sellers são os chefões. Operam canais públicos onde compartilham alguns stealer logs de graça — tipo amostras grátis para que terceiros possam testar — e mantêm canais privados pagos onde os clientes realmente fazem a festa. É o modelo freemium do crime;
- Os Aggregators pegam dados de vários vendedores, misturam tudo num caldeirão e compartilham de novo. Muitas vezes, fazem isso só para ganhar atenção e seguidores;
- Os Traffers não vendem diretamente, mas são responsáveis por espalhar o malware em parceria com os Primary Sellers. Ocasionalmente, têm seus próprios canais onde postam dados como “prova” de que o malware funciona.
Até no cibercrime tem richa, nesse caso, os Primary Sellers não gostam que os Aggregators levem crédito pelos dados deles. Então, eles protegem os arquivos com senha e colocam um link do próprio canal dentro do arquivo. É tipo aquela marca d’água em foto de banco de imagens, só que em dados roubados.
A escala que esse tipo de esquema é capaz de alcançar é impressionante: uma única conta do Telegram consegue ingerir até 50 milhões de credenciais em um dia. O sistema que capturou esses dados chegou a indexar 1,2 bilhão de mensagens em 24 horas e processar 600 milhões de credenciais em um único dia.
80 bilhões de credenciais processadas
Para chegar a esses 183 milhões de e-mails únicos, o sistema por trás da Synthient processou números que parecem saídos de ficção científica. Ao longo de quase um ano de operação, foram indexadas 30 bilhões de mensagens do Telegram e analisadas 80 bilhões de credenciais.
O sistema funcionava com cerca de 20 contas do Telegram Premium atuando como “workers” — robôs que monitoravam canais criminosos, baixavam arquivos e processavam dados automaticamente. Quando o processador central identificava um canal suspeito de compartilhar dados roubados, ele instruía um worker a entrar no canal. Uma vez dentro, o worker iniciava um listener que monitorava todas as mensagens.
O processador analisava as mensagens em busca de links para outros canais, arquivos anexados e padrões que indicassem atividade criminosa. Quando encontrava um arquivo, ele enviava para um sistema separado de download. Contas autenticadas dedicadas baixavam, extraíam e processavam o conteúdo dos arquivos.
Um dos principais desafios desse tipo de análise é que cada grupo criminoso tem seu próprio formato. Não existe um padrão. Alguns usam CSV, outros TXT, alguns criam formatos proprietários malucos. O sistema teve que ser flexível o suficiente para lidar com essa bagunça toda.
O sistema também implementou duas camadas de deduplicação. Primeiro, verificava o FileHash do arquivo no próprio Telegram antes de baixar. Se o arquivo já tinha sido processado, pulava. Segundo, o banco de dados usava o hash como parte da chave primária para evitar inserções duplicadas. Mesmo assim, a quantidade de dados novos era monumental.
Credential stuffing: quando o passado te assombra
Mas stealer logs são apenas metade da história. A outra metade são as credential stuffing lists: listas de credenciais. Diferente dos stealer logs, que vêm de malware capturando senhas em tempo real, credential stuffing lists são agregações de vazamentos anteriores em pares “e-mail:senha”.
Essas listas são usadas em ataques de credential stuffing: os criminosos pegam as credenciais e tentam usar em outros serviços, contando que as pessoas reutilizam senhas.
As senhas do conjunto Synthient estão sendo carregadas no Pwned Passwords, o serviço do HIBP que permite verificar se uma senha já foi vazada. O Pwned Passwords processou 17,45 bilhões de requisições em 30 dias. É uma média de 6.733 requisições por segundo.
O problema da duplicação não diminui a gravidade
Quando Troy testou uma amostra de 94 mil e-mails do conjunto da Synthient, descobriu que 92% já tinham sido vistos antes em outros vazamentos. A maioria veio do ALIEN TXTBASE, um corpus anterior de stealer logs que ele havia carregado no HIBP.
Mesmo com 92% de duplicação, sobram 8% de dados novos. E 8% de 183 milhões de e-mails únicos são 16,4 milhões de endereços que nunca tinham aparecido no HIBP antes.
A duplicação não é um bug — é uma feature do ecossistema criminoso. Ela mostra como os dados se propagam, como são reciclados, como cada nova “geração” de stealer logs contém tanto dados velhos quanto novos. É como uma bola de neve que só cresce.
E isso tem implicações práticas importantes: se sua senha apareceu em um stealer log há dois anos e você não trocou, ela provavelmente está em dez, vinte, cinquenta lugares diferentes agora. Está em listas de credential stuffing. Está sendo testada contra sua conta bancária. Está sendo vendida em canais do Telegram. Está sendo usada em campanhas de phishing personalizadas.
Como os canais maliciosos foram identificados
Uma das partes mais fascinantes da operação técnica foi como os canais criminosos do Telegram foram identificados. O sistema começou com uma base de canais conhecidamente maliciosos e, a partir daí, raspava essas conversas em busca de links para outros canais.
Sempre que um canal malicioso conhecido apontava para um novo canal, isso aumentava a “pontuação de suspeição” daquele canal desconhecido. Quanto mais canais maliciosos apontavam para um determinado canal, maior a probabilidade de que ele também fosse malicioso. É quase como uma rede social do crime: seus amigos dizem muito sobre você.
O sistema funcionava de forma semi-autônoma: identificava candidatos, ranqueava por probabilidade, e os workers entravam nos canais mais promissores. Foi assim que se chegou aos 30 bilhões de mensagens indexadas e aos 80 bilhões de credenciais processadas.
Fontes monitoradas incluíam não apenas o Telegram, mas também fóruns especializados, redes sociais e, inicialmente, a rede Tor. Porém, o Telegram se mostrou de longe a fonte mais produtiva. Um único canal podia gerar milhões de credenciais em questão de horas. Os fóruns e redes sociais serviam principalmente para descobrir novos canais do Telegram que ainda não estavam sendo monitorados.
Meus dados foram vazados, e agora?
Há alguns passos simples para tomar se você suspeita que seus dados foram vazados.
- Verifique se você foi realmente afetado. Acesse o Have I Been Pwned e digite seu e-mail. Se você aparecer no vazamento “Synthient Stealer Log Threat Data”, suas credenciais foram capturadas por malware;
- Cheque suas senhas. Use o Pwned Passwords para verificar se suas senhas foram comprometidas. Se qualquer senha aparecer com qualquer número de ocorrências, troque imediatamente;
- Troque tudo. Se suas credenciais aparecerem no vazamento, troque as senhas imediatamente. Dê preferência para senhas fortes e únicas para cada serviço, um gerenciador de senha pode te ajudar;
- Ative autenticação multifator em tudo que for crítico. E-mail, banco, redes sociais. Preferencialmente, use um app autenticador ou chave de segurança física — evite usar SMS como fator de segurança, recomendamos Google Authenticator, Microsoft Authenticator, Authy etc;
- Considere um gerenciador de senhas. Gerenciadores modernos incluem verificação automática contra o Pwned Passwords, o que significa que você será alertado se alguma senha no seu cofre foi comprometida;
- Se você apareceu no vazamento, há uma boa chance de que teve ou ainda tem malware na máquina. Rode um scan antimalware completo. Considere usar ferramentas específicas para detecção de infostealers;
- Use um antivírus em seus aparelhos.
Para ficar sabendo de mais casos como esse, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.
