Depois de anos passados Ao encontrar e investigar violações de dados, Greg Pollock admite que, quando se depara com mais um banco de dados exposto cheio de senhas e números de seguridade social, “chego a isso com certo cansaço”. Mas Pollock, diretor de pesquisa da empresa de segurança cibernética UpGuard, diz que ele e seus colegas encontraram em janeiro um banco de dados on-line exposto e acessível ao público que parecia conter um tesouro de dados pessoais confidenciais de americanos tão grande que seu cansaço diminuiu e eles entraram em ação para validar a descoberta.
O Pesquisadores da UpGuard apontam que nem todos os registos representam informações únicas e válidas, mas os totais brutos encontrados na exposição de Janeiro incluíam cerca de 3 mil milhões de endereços de e-mail e palavras-passe, bem como cerca de 2,7 mil milhões de registos que incluíam números de Segurança Social. Não estava claro quem configurou o banco de dados, mas parecia conter detalhes pessoais que podem ter sido remendados a partir de múltiplas violações históricas de dados – incluindo, talvez, o tesouro da violação de 2024 do serviço de verificação de antecedentes Nationwide Public Information. É comum que os corretores de dados e os cibercriminosos combinem e recombinem conjuntos de dados antigos, mas a escala e a quantidade potencial de números da Segurança Social – mesmo que apenas uma fração deles fossem reais – eram impressionantes.
“Todas as semanas há outra descoberta que parece grande no papel, mas provavelmente não é muito nova”, diz Pollock. “Por isso, fiquei surpreso quando comecei a investigar os casos específicos aqui para validar os dados. Em alguns casos, as identidades nesta violação de dados estão em risco porque foram expostas, mas ainda não foram exploradas.”
Os dados foram hospedados pelo provedor de nuvem alemão Hetzner. Como Pollock não conseguiu identificar um proprietário do banco de dados para entrar em contato, ele notificou a Hetzner em 16 de janeiro. A empresa, por sua vez, disse que notificou seu cliente, que retirou os dados em 21 de janeiro.
Hetzner não forneceu comentários à WIRED antes da publicação.
Os pesquisadores não baixaram todo o conjunto de dados para análise devido ao seu tamanho e sensibilidade. Em vez disso, trabalharam com uma amostra de 2,8 milhões de registros – uma pequena fração do complete encontrado. Ao analisar tendências nos dados, incluindo a popularidade de certas referências culturais em senhas, eles concluíram que muitos dos dados provavelmente datam dos Estados Unidos por volta de 2015. Por exemplo, senhas que fazem referência a One Path, Fall Out Boy e Taylor Swift eram muito comuns. Enquanto isso, referências a Blackpink, Katseye e Btsarmy mal começavam a aparecer.
Os dados antigos ainda são valiosos por dois motivos. Primeiro, as pessoas muitas vezes reutilizam o mesmo endereço de e-mail e senha, ou uma variação da senha, em muitos websites e serviços diferentes. Isso significa que os cibercriminosos podem continuar tentando as mesmas credenciais de login para as mesmas pessoas ao longo do tempo. A segunda razão é que os números da Segurança Social das pessoas estão frequentemente associados aos seus dados mais sensíveis e de alto risco, mas quase nunca mudam durante a vida. Como resultado, os SSNs válidos são uma das joias da coroa do roubo de identidade para os invasores.
Na amostra de dados que os investigadores analisaram, Pollock diz que um em cada quatro números da Segurança Social parecia ser válido e legítimo. A amostra period demasiado pequena para ser extrapolada para todo o conjunto de dados, mas um quarto de todos os registos contendo SSNs seria de 675 milhões. Uma fração disso ainda representaria um conjunto muito significativo de números da Segurança Social.
Para verificar os dados, os pesquisadores do UpGuard contataram algumas pessoas cujos dados apareceram no arquivo vazado. Pollock enfatiza que uma das descobertas mais preocupantes ao falar com esses indivíduos foi que nem todos tiveram suas identidades roubadas ou sofreram hacks. Por outras palavras, havia informações na base de dados que não foram exploradas por cibercriminosos – e as potenciais vítimas não sabem necessariamente que as suas informações foram expostas.
