Mercado fechado
  • BOVESPA

    129.441,03
    -635,14 (-0,49%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.286,46
    +400,13 (+0,79%)
     
  • PETROLEO CRU

    70,78
    +0,49 (+0,70%)
     
  • OURO

    1.879,50
    -16,90 (-0,89%)
     
  • BTC-USD

    35.491,97
    -1.823,11 (-4,89%)
     
  • CMC Crypto 200

    924,19
    -17,62 (-1,87%)
     
  • S&P500

    4.247,44
    +8,26 (+0,19%)
     
  • DOW JONES

    34.479,60
    +13,36 (+0,04%)
     
  • FTSE

    7.134,06
    +45,88 (+0,65%)
     
  • HANG SENG

    28.842,13
    +103,25 (+0,36%)
     
  • NIKKEI

    28.948,73
    -9,83 (-0,03%)
     
  • NASDAQ

    13.992,75
    +33,00 (+0,24%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1926
    +0,0391 (+0,64%)
     

Quase 50 mil emails e senhas do governo ficam expostos em 2021, diz relatório

·4 minuto de leitura

SÃO PAULO, SP (FOLHAPRESS) - Em um início de ano marcado pelo chamado megavazamento de dados e por ataques pontuais a empresas públicas e privadas, mais de 47 mil senhas e emails ligados a administrações públicas do Brasil –a maior parte do governo federal– vazaram ou foram expostos na internet no primeiro trimestre, mostra relatório exclusivo da Axur, empresa de cibersegurança.

A alta em relação aos três meses anteriores é de 580%. A empresa também detectou 122 mil credenciais (email e senha) de domínios corporativos.

As credenciais não necessariamente dão acesso aos sistemas internos, pois podem ter sido vazadas a partir de cadastros feitos em outros sites utilizando esses emails. Algumas também são antigas, mas vêm sendo agregadas a compilados de dados mais amplos vendidos na internet.

Considerando todos os pares de email e senha detectados pela empresa, o 123456 disparou como a senha mais utilizada, representando 43% das dez mais vazadas. Seu uso é quase três vezes superior ao da segunda preferida pela população, a 123456789.

Do total, 80% contêm apenas números ou letras maiúsculas.

Esses registros vêm de vazamentos governamentais recentes ou antigos, como da SPtrans e do extinto Ministério do Trabalho –hoje com atribuições integradas a outros ministérios–, e empresariais. Um exemplo é a Nitro PDF, uma aplicação online quer permite a edição de documentos em PDF, que teve 14 GB de informações divulgadas no início do ano, segundo o relatório.

Em nota, a Secretaria de Governo Digital do Ministério da Economia diz que os sistemas do governo não foram alvo de ataques bem-sucedidos e que nenhuma informação de Estado foi comprometida a partir de fatos apurados até agora.

"Levantamento anterior, realizado em março deste ano, já havia concluído que todas as contas identificadas se referiam a cadastros dos usuários em aplicativos ou portais privados, onde o usuário utilizou o seu e-mail institucional. Portanto, reforçamos não ter havido comprometimento de nenhum sistema ou informação governamental."

Segundo a Axur, houve um megavazamento de credenciais em fevereiro, na base de dados que hackers e especialistas estão chamando de Compilado 2021, com dados e informações coletadas em vazamentos desde 2013. Esse agregado reúne 2,2 bilhões de credenciais, não apenas referentes ao Brasil.

Para especialistas, a rápida transformação digital das empresas durante a pandemia criou novas brechas para o cibercrime. O ransomware, ataque em que hackers sequestram dados de uma companhia e pedem dinheiro para liberá-los, também cresceu no período.

Até a LGPD (Lei Geral de Proteção de Dados), cujas multas podem ser aplicadas a partir do meio do ano, poderá ser usada como elemento de chantagem pelos criminosos.

​"É provável que façam a extorsão [dos dados] depois que as multas estiverem vigentes. Pode ser um grande incentivo para a atividade criminosa, porque uma grande empresa prefere pagar um resgate de, por exemplo, R$ 5 milhões, do que eventualmente R$ 50 milhões pelo vazamento [valor máximo da multa]", diz Fábio Ramos, presidente da Axur.

A empresa estima que, a partir de grandes vazamentos globais do início do ano, cerca de 3,7 bilhões de dados pessoais tenham sido expostos indevidamente nos três primeiros meses.

No Brasil, o maior incidente foi o megavazamento que expôs 223 milhões de CPFs, além do arquivo que contém o CNPJ de 40 milhões de empresas, 104 milhões de dados de veículos e outros 39 tipos de documentos. A investigação do caso ainda não foi concluída.

"O vazamento está sendo pego a reboque do ransomware, que está em franco crescimento. Os criminosos estão se profissionalizando em um esquema de franquia e de áreas especializadas, que envolve a criação do ransomware e a venda do acesso a uma empresa", diz Alexandre Sieira, fundador da Tenchi Security.

O Brasil sempre teve uma grande quantidade de dados disponível ou comercializada, e a LGPD, segundo o especialista, tornou ilegal a atividade de empresas que antes vendiam informações públicas sem penalidades. "Sempre existiu essa indústria que coletava informação pública, empacotava e vendia sem consentimento do titular. Agora ela migrou para os fóruns ilegais", afirma.

O Brasil teve 250 mil cartões de crédito e débito expostos no primeiro trimestre, ainda segundo a Axur, o que representa 59,4% do total. É mais que o dobro de números identificados nos Estados Unidos, que ocupa o segundo lugar da lista.

A empresa de cibersegurança fez o relatório a partir do monitoramento diário de milhões de URLs e artefatos maliciosos detectados por sua equipe e por sistemas de inteligência artificial. Ao menos 12 bases foram analisadas, tanto da web superficial, como da deep e dark web, que não são indexadas por buscadores, como o Google.