O conhecimento não público dos usuários de vakinha, um dos principais sites de crowdfunding do Brasil, foi exibido na internet neste fim de semana. 4,8 milhões de registros de dados da plataforma foram publicados como componente de um universo de mais de 380 milhões de dados, sendo a plataforma a única brasileira na lista dos 18 cujos usuários foram comprometidos.
De acordo com o site Have I Been Pwned, que coleta incidentes de segurança relacionados ao vazamento de dados, o compromisso de Vakinha expõe conhecimentos, como endereços de e-mail, nomes registrados, números de telefone e localizações geográficas. As senhas dos usuários também foram filtradas, mas em um formato criptografado, dificultando.
Em envio ao G1, o serviço mostrou o comprometimento dos dados de seus usuários por meio de acesso não autorizado de terceiros, sem contar o número de outras pessoas envolvidas: o total de 4,8 milhões corresponde aos registros, ou seja, entradas exclusivas de Dé. Nesse sentido, Vakinha apenas afirmou que a exposição não teve sucesso em toda a sua base de usuários e que o conhecimento monetário registrado na plataforma não foi acessado por meio de apoiadores ou criadores de cruzados.
A empresa também reiterou que foram reveladas versões criptografadas das senhas, que permaneceram seguras. No entanto, o conselho para os usuários que se sentem ameaçados é substituir suas credenciais, enquanto a Vakinha entra em contato com usuários que têm saldo na plataforma para telefone, e-mail e outros procedimentos de segurança semelhantes à conta.
O banco de dados foi liberado através de um auto-proclamado hacker shinyhunters. Nos fóruns, ele alegou ter tentado, sem sucesso, vender o grande banco de dados que tinha em mãos, o que levou à liberação do banco. De acordo com o Have I Been Pwned, os dados foram compartilhados temporariamente nas comunidades-alvo desse objetivo e serão considerados públicos, sem opção de cortar o ar.
Entre o universo de 18 expostos pelo hacker, Vakinha, com 4,8 milhões de registros, está entre os menos afetados. O maior compromisso veio com o Wattpad, com 270 milhões de registros em 120 GB de dados do site destinados a publicar histórias e criar uma rede de leitores e autores.
No caso do site, foram expostos conhecimentos como endereços de e-mail, nomes, usuários, senhas, links para perfis de redes sociais ou sites, sexo, datas de nascimento, endereços IP e dados geográficos. Essa base de conhecimento, disse ShinyHunters, é a única que foi vendida antes dos dados serem lançados gratuitamente, possivelmente implicando que golpes contrários a usuários engajados poderiam ter acontecido pelo menos desde junho deste ano.
Em um rápido sobre isso, Wattpad mostrou o vazamento de conhecimento, mas notou que dados bancários, conversas pessoais e números de telefone não faziam parte do volume comprometido. Além disso, dependendo da plataforma, as senhas vazadas são criptografadas e, mesmo na propriedade de componentes de terceiros, não podem ser acessadas por compromissos de conta. No entanto, a empresa afirmou que redefiniu as credenciais de todos os envolvidos e recomenda que seus usuários façam o mesmo em outras instalações que usam as mesmas informações.
Outros afetados pelo vazamento incluem:
O conselho dado pelos funcionários do Wattpad também é válido para todos os que estiveram envolvidos não só nisso, mas também em qualquer vazamento. Se os dados de um serviço foram revelados, o ideal é substituir senhas imediatamente, fazendo o mesmo em outras plataformas que porcentagemm a mesma combinação. Idealmente, na verdade, é nunca repetir credenciais, palavras-chave seguras, aleatórias e exclusivas, de modo que caso uma plataforma se torne vulnerável, as reflexões não cairiam sobre as outras.
Além disso, as comunicações que chegam por e-mail, SMS ou mensagens instantâneas em nome de plataformas comprometidas ou de terceiros devem ser amplamente monitoradas. Na propriedade do banco de dados, os criminosos podem aplicar golpes em oposição às outras pessoas envolvidas ou simplesmente dar uma olhada para obter mais credenciais de login. Preste atenção aos sites que podem ser acessados por esses meios e evite baixar arquivos ou programas através deles.
O Canaltech tem tentado tocar vakinha para mais pontos principais sobre vazamento de conhecimento, basicamente em relação ao número de usuários afetados. O serviço não respondeu até a publicação da reportagem.
Inscreva seu email no Canaltech para receber atualizações sobre as últimas notícias do mundo da tecnologia.
Parceiro UOL Tecnologia © Canaltech 2019