Vazamentos de dados em sites apresentam riscos maiores do que imaginamos

Parece que a cada poucas semanas, notícias de outra empresa são atacadas por hackers, com dados pessoais fornecidos por milhares ou milhões de usuários individuais roubados.

Mas quão perigosos são esses vazamentos de dados? A pessoa comum enfrenta algum risco real se um hacker conseguir roubar uma das senhas de sua conta?

Acontece que o vazamento de dados representa ameaças muito maiores do que a maioria das pessoas imagina, e um hacker pode facilmente encontrar e explorar informações confidenciais não apenas na identidade virtual de uma pessoa, mas também em sua identidade real.

Essa é a conclusão alcançada por dois estudantes da Escola de Engenharia e Ciências Aplicadas de Harvard John A. Paulson , que exploraram vazamentos de dados para seu projeto final em Privacidade e Tecnologia (CS 105) , ministrado por Jim Waldo , professor da prática de práticas de Ciência da Computação.

“A resposta imediata a uma empresa violada é medo e indignação, mas rapidamente a resposta do público se dissipa e as pessoas seguem em frente com suas vidas”, disse Dasha Metropolitansky, AB ’22, um concentrador de estatísticas. “Qual hacker tem tempo para passar por centenas de milhares de credenciais de login e invadir cada uma delas? Muitos de nós simplesmente pensam que somos indivíduos comuns – por que um hacker gostaria de me atacar ou a você se não somos especialmente poderosos ou proeminentes?

Metropolitansky e Kian Attari, AB ’22, um concentrador de ciência da computação, primeiro se perguntaram como seria fácil para um indivíduo nefasto encontrar um conjunto de dados de informações pessoais vazadas. Eles começaram pesquisando na “dark web”, uma rede ponto a ponto que não é indexada por mecanismos de busca como o Google e deve ser acessada através de um software chamado Tor.

Os estudantes encontraram rapidamente vários fóruns nos quais hackers compartilham vazamentos de dados, tornando as informações públicas para qualquer um acessar.

“Os hackers e pessoas mal-intencionadas que explorariam esse tipo de dados podem encontrá-lo facilmente”, disse Attari.

Os estudantes encontraram um conjunto de dados de uma empresa de relatórios de violação de crédito Experian, que não recebeu muita cobertura noticiosa quando ocorreu em 2015. Continha informações pessoais de seis milhões de indivíduos. O conjunto de dados foi dividido por estado; portanto, Metropolitansky e Attari decidiram se concentrar em Washington DC. Os dados incluíam 69 variáveis ​​- tudo, desde o endereço residencial e número de telefone de uma pessoa até sua pontuação de crédito, histórico de doações políticas e até quantos filhos eles têm.

Mas esses eram dados de apenas um vazamento isolado. Metropolitansky e Attari se perguntavam se poderiam identificar um indivíduo em todos os outros vazamentos ocorridos, combinando informações pessoais roubadas de talvez centenas de fontes.

Existem sites na dark web que arquivam vazamentos de dados, permitindo que um indivíduo insira um email e visualize todos os vazamentos nos quais o email aparece. A Attari construiu uma ferramenta que realiza essa pesquisa em escala.

“O programa coleta uma lista de informações de identificação pessoal, como uma lista de e-mails ou nomes de usuários, e procura nos vazamentos todos os dados de credenciais que encontrar para cada pessoa”, disse ele.

O conjunto de dados Experian Washington encontrado por Metropolitansky e Attari continha mais de 40.000 endereços de email exclusivos. A Attari extraiu esses e-mails exclusivos e os inseriu na ferramenta, que procurava por todos os vazamentos de dados nos quais os e-mails apareciam, além de credenciais vazadas, como senhas e nomes de usuário.

A ferramenta gera um conjunto de dados dos vazamentos e credenciais associados aos endereços de email do Experian. A Metropolitansky juntou esses dados ao conjunto de dados Experian completo de 69 variáveis, vinculando as identidades cibernéticas dos usuários às identidades do mundo real.

“O que conseguimos fazer é alarmante, porque agora podemos encontrar vulnerabilidades na presença on-line das pessoas muito rapidamente”, disse Metropolitansky. “Por exemplo, se eu puder agregar todas as credenciais vazadas associadas a você em um só lugar, posso ver as senhas e nomes de usuário que você usa repetidamente”.

Das 96.000 senhas contidas no conjunto de dados usadas pelos alunos, apenas 26.000 eram únicas.

“Também mostramos que um cibercriminoso não precisa ter uma vítima específica em mente. Agora eles podem procurar vítimas que atendam a um determinado conjunto de critérios ”, disse Metropolitansky.

Por exemplo, em menos de 10 segundos, ela produziu um conjunto de dados com mais de 1.000 pessoas com alto patrimônio líquido, são casadas, têm filhos e também têm um nome de usuário ou senha em um site de trapaça. Outra consulta levantou uma lista de políticos de nível sênior, revelando as notas de crédito, números de telefone e endereços de três senadores dos EUA, três representantes dos EUA, o prefeito de Washington, DC, e um membro do Gabinete.

“Espero que isso sirva como alerta para que vazamentos sejam muito mais perigosos do que pensamos que sejam”, disse Metropolitansky. “Somos dois estudantes universitários. Se alguém realmente quisesse causar algum dano, tenho certeza de que eles poderiam usar essas mesmas técnicas para fazer algo horrível. ”

Para a Attari, a maior surpresa deste projeto foi o fato de que tudo o que eles usaram está disponível ao público. Eles nem precisaram mergulhar fundo demais para encontrá-lo.

“Quando algo vaza, torna-se informação pública para qualquer pessoa acessar e usar”, disse ele. “As pessoas sentem que ainda têm direito às informações após o vazamento, mas depois que o vazamento desaparece. Isso é algo que todo mundo tem que perceber. ”

O melhor conselho é simples: não reutilize senhas ou nomes de usuários, pois esse era um mecanismo de segmentação muito fácil que podia identificar informações pessoais em sites.

“Acho que muitos de nós sabemos que alguns dados vazaram. O que Dasha e Kian mostraram foi como vincular diferentes fontes de dados vazadas pode revelar muito mais do que qualquer um de nós sabe ou se sente à vontade em estar na rede ”, disse Waldo. “É o acúmulo desses dados que pode ser perigoso para todos nós.”

Outra questão importante levantada por esse projeto é que a maioria das grandes empresas já foi violada e nem todos os vazamentos de dados são manchetes, disse Metropolitansky.

“Espero que este projeto leve a uma mudança de mentalidade. A maioria das pessoas espera até que a mídia diga que uma empresa foi violada para agir. Todos nós devemos operar com o pressuposto de que uma empresa já foi violada ”, disse ela. “Há muitas violações que acontecem o tempo todo que nenhum de nós conhece e muitas dessas empresas não são responsabilizadas. Felizmente, se mais pessoas estiverem cientes do perigo de vazamentos, poderá haver mais pressão para impor proteções rigorosas contra empresas que não fazem o suficiente para manter os dados do usuário seguros. ”

Fonte: Hacker News