A possibilidade de que dados possam ser inadvertidamente expostos em um banco de dados mal configurado ou de outra forma inseguro é um pesadelo de privacidade de longa data que tem sido difícil de abordar completamente. Mas a nova descoberta de um enorme tesouro de 184 milhões de registros — incluindo logins e credenciais da Apple, Facebook e Google, e contas conectadas a vários governos — destaca os riscos de compilar informações sensíveis de forma imprudente em um repositório que pode se tornar um único ponto de falha.
Em maio, o caçador de vazamentos de dados e pesquisador de segurança Jeremiah Fowler descobriu um banco de dados Elastic exposto contendo 184.162.718 registros em mais de 47 GB de dados. Normalmente, Fowler diz que consegue reunir pistas sobre quem controla um banco de dados exposto a partir de seu conteúdo — detalhes sobre a organização, dados relacionados a seus clientes ou funcionários, ou outros indicadores que sugerem por que os dados estão sendo coletados. Este banco de dados, no entanto, não incluía pistas sobre quem possui os dados ou de onde eles podem ter sido coletados.
A vasta gama e o enorme escopo dos detalhes de login, que incluem contas conectadas a uma grande variedade de serviços digitais, indicam que os dados são algum tipo de compilação, possivelmente mantida por pesquisadores investigando uma violação de dados ou outra atividade criminosa cibernética, ou de propriedade direta de atacantes e roubados por malware infostealer.
“Este é provavelmente um dos mais estranhos que encontrei em muitos anos”, diz Fowler. “Em termos de fator de risco aqui, isso é muito maior do que a maioria das coisas que encontro, porque isso é acesso direto a contas individuais. Esta é a lista de trabalho dos sonhos de um cibercriminoso.”
Cada registro incluía uma etiqueta de ID para o tipo de conta, uma URL para cada site ou serviço e, em seguida, nomes de usuário e senhas em texto simples. Fowler observa que o campo da senha era chamado de “Senha”, a palavra portuguesa para senha.
Em uma amostra de 10.000 registros analisados por Fowler, havia 479 contas do Facebook, 475 contas do Google, 240 contas do Instagram, 227 contas do Roblox, 209 contas do Discord e mais de 100 de contas da Microsoft, Netflix e PayPal. Essa amostra — apenas uma fração minúscula da exposição total — também incluía logins da Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress e Yahoo, entre muitos outros. Uma pesquisa por palavra-chave da amostra feita por Fowler retornou 187 instâncias da palavra “banco” e 57 de “carteira”.
Fowler, que não baixou os dados, diz que contatou uma amostra dos endereços de e-mail expostos e ouviu de alguns que eram contas genuínas.
Além de indivíduos, os dados expostos também apresentaram riscos potenciais à segurança nacional, diz Fowler. Nos 10.000 registros amostrados, havia 220 endereços de e-mail com domínios .gov. Estes estavam vinculados a pelo menos 29 países, incluindo os Estados Unidos, Austrália, Canadá, China, Índia, Israel, Nova Zelândia, Arábia Saudita e Reino Unido.
Embora Fowler não pudesse identificar quem havia montado o banco de dados ou de onde os detalhes de login vieram originalmente, ele relatou a exposição de dados ao World Host Group, a empresa de hospedagem à qual estava vinculado. O acesso ao banco de dados foi rapidamente encerrado, diz Fowler, embora o World Host Group não tenha respondido ao pesquisador até depois de ser contatado pela WIRED.
Seb de Lemos, CEO do World Host Group, diz à WIRED em um comunicado que a empresa opera sistemas para mais de 2 milhões de sites. O banco de dados encontrado por Fowler, no entanto, é “um servidor não gerenciado” hospedado na infraestrutura do World Host Group e totalmente controlado por um cliente.
“Parece que um usuário fraudulento se inscreveu e carregou conteúdo ilegal em seu servidor”, escreveu de Lemos na declaração. “O sistema foi encerrado desde então. Nossa equipe jurídica está revisando qualquer informação que possamos ter que possa ser relevante para a aplicação da lei.”
De Lemos diz que a empresa está em contato com Fowler e fez melhorias em seu sistema de relatórios. “Embora não possamos compartilhar detalhes específicos do cliente com a WIRED, cooperaremos totalmente com as autoridades competentes e, quando apropriado, compartilharemos todos os dados relevantes do cliente com elas.”
Embora o banco de dados agora tenha sido protegido — e, em última análise, totalmente removido — não está claro se alguém além de Fowler acessou o tesouro enquanto ainda estava ativo. Como em qualquer banco de dados exposto, a preocupação é que dados sensíveis possam ser roubados e abusados. E neste caso, há um risco particularmente urgente de logins serem explorados em fraudes, para roubar informações adicionais ou até mesmo para violar outras organizações.
Fowler diz que, embora não saiba com certeza, suspeita que os dados foram compilados por atacantes usando um infostealer.
“É altamente possível que isso tenha sido um cibercriminoso”, diz ele. “É a única coisa que faz sentido, porque não consigo pensar em outra maneira de obter tantos logins e senhas de tantos serviços ao redor do mundo.”