- Enorme tesouro de 149 milhões de credenciais expostas online
- Nomes de usuário e senhas incluídos para contas bancárias, de mídia social e .gov
- Não se sabe por quanto tempo o banco de dados ficou exposto, mas agora ele foi removido
O pesquisador de segurança cibernética Jeremiah Fowler (v.eu ExpressVPN) descobriu mais uma vez um enorme tesouro de dados acessíveis ao público.
O enorme contêiner de nomes de usuário e senhas exclusivos foi exposto na web sem qualquer senha ou proteção criptografada.
Os dados continham mais de 149 milhões de combinações de nomes de usuário e senhas, totalizando cerca de 98 gigabytes de credenciais abrangendo contas online de quase todos os tipos.
149 milhões de credenciais expostas
As credenciais encontradas no contêiner abrangiam serviços financeiros, incluindo carteiras de criptomoedas, contas de negociação e detalhes de contas bancárias. Credenciais de mídias sociais e aplicativos de namoro também foram incluídas no banco de dados.
Fora das contas pessoais, várias contas de e-mail usando o domínio .gov foram encontradas no contêiner.
Muito pouco se sabe sobre a origem do contêiner de armazenamento em nuvem exposto, mas Fowler observa que vestígios de malware infostealer e keylogging estavam presentes no banco de dados. Após a descoberta, Fowler tentou rastrear os proprietários da conta, mas não conseguiu encontrar nenhuma informação associada.
Em vez disso, Fowler tentou entrar em contato com o provedor de hospedagem, que disse que o contêiner estava sendo hospedado por uma subsidiária que operava de forma independente. Demorou quase um mês para que o contêiner fosse retirado, observa Fowler.
Curiosamente, as credenciais armazenadas no banco de dados foram indexadas de forma a torná-las facilmente pesquisáveis usando o “host_reversed path”, o que significa que o banco de dados poderia ter sido obra de um hacker organizado ou pode ter sido um banco de dados de pesquisa.
Uma base de dados desta dimensão e âmbito poderia ser utilizada para fins altamente nefastos, tais como spear-phishing, fraude bancária e de crédito, e até mesmo roubo de identidade. Atualmente não se sabe por quanto tempo o banco de dados ficou exposto.
O melhores gerenciadores de senhas são uma das principais maneiras de evitar que suas credenciais sejam roubadas. Muitos gerenciadores de senhas armazenam seus nomes de usuário e senhas em um cofre criptografado usando autenticação de dois fatores e vasculham a dark web para verificar se alguma de suas credenciais foi exposta.
A melhor proteção contra roubo de identidade para todos os orçamentos