Megavazamento global expõe mais de 10 milhões de senhas de e-mails brasileiros

Entre as informações expostas, estão mais de 70 mil senhas da administração pública

PUBLICIDADE

Foto do author Bruno Romani
Por Bruno Romani
Atualização:
Vazamento global de senha atinge brasileiros Foto: Pexels

Atualizado às 13h30 para incluir a posição do Serpro

PUBLICIDADE

A temporada de grandes vazamentos de dados continua a todo vapor. Desta vez, mais de 10 milhões de senhas de e-mails de brasileiros foram expostas na internet em um vazamento global de 3,2 bilhões ocorrido no começo de fevereiro. Entre as credenciais brasileiras estão mais de 70 mil senhas do setor público, como de e-mails da Câmara dos Deputados, do Supremo Tribunal Federal (STF) e da Petrobrás. Os números foram obtidos por uma análise exclusiva para o Estadão feita pela empresa de cibersegurança Syhunt. 

Os dados brasileiros fazem parte de um megavazamento global de senhas ocorrido no começo de fevereiro, que traz 3,28 bilhões de senhas para cerca de 2,18 bilhões de endereços únicos de e-mail. O arquivo de 100 GB foi publicado no mesmo fórum onde, em janeiro, hackers colocaram à venda bases de dados que comprometeram 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos. 

Inicialmente, as bases de senhas foram postadas em 2 de fevereiro. Após a publicação original ter sido removida, os arquivos foram repostados em 17 de fevereiro. Ao contrário do megavazamento de janeiro, no qual as informações de brasileiros estavam à venda, o vazamento de senhas foi disponibilizado integralmente no fórum de forma gratuita — elas podem ser baixadas por qualquer pessoa. Essa foi a base analisada pela Syhunt, o que permite pela primeira vez ter uma noção de como os brasileiros foram afetados. 

O hacker que postou os dados chama o arquivo de “Comb”, uma sigla para “compilation of many breaches” (em tradução livre, a compilação de muitas violações) — é uma indicação de que as informações têm origens distintas, agregando diferentes vazamentos. O novo vazamento quase dobrou as informações de uma megacompilação de 2017, que tinha 1,4 bilhão de senhas. É possível que a compilação atual traga os mesmos arquivos vazados há quatro anos. Não é possível saber, porém, se existe alguma ligação entre os hackers por trás do vazamento de janeiro de dados brasileiros e o vazamento global de senhas.

Entre as informações de brasileiros, existem pelo menos 10 milhões de senhas. Esse é o número de credenciais referente apenas a e-mails do domínio “.br” — cerca de 26 milhões de domínios em todo o mundo foram afetados. Isso significa que o número de brasileiros atingidos pode ser muito maior. A análise não incluiu serviços de e-mail muito populares por aqui, como Gmail e Hotmail, pois eles estão no domínio “.com”. 

A base de arquivos é organizada e permite uma busca simples de endereços de e-mail para verificar quais as senhas vazadas. Embora o vazamento de janeiro tenha muito mais informações sobre brasileiros, o novo vazamento também traz riscos importantes para a nossa segurança digital. “No vazamento de janeiro, havia milhões de e-mails. Essas informações podem ser cruzadas com a base de senhas e permitir acesso dos criminosos”, explica Felipe Daragon, fundador da Syhunt. No megavazamento de dados de janeiro, o criminoso colocou à venda e-mails de 77,8 milhões de pessoas e de 15,8 milhões de empresas. 

Publicidade

Além disso, diversos e-mails tiveram mais de uma senha vazada, o que permite identificar o padrão de criação de senhas. Mais ainda: com o padrão de criação de senhas em mãos, é possível até mesmo tentar prever futuras novas senhas criadas para os endereços. No vazamento, muitos endereços tiveram entre três e 30 senhas associadas a eles. “Mesmo que essas senhas sejam antigas, elas dão uma boa perspectiva sobre como o usuário se comporta em relação à suas senhas”, diz Daragon. 

Administração pública está exposta

O vazamento afetou milhares de senhas da administração pública, incluindo esferas do poder, como Câmara e STF; agências de governo, como Anac e Anatel; bancos públicos, como Caixa e BNDES; ministérios, como Turismo e Transportes; e secretarias estaduais de Saúde. Além disso, endereços ligados a prefeituras, como Santos, Santo André e Salvador, estão no pacote. 

No total, 68.535 senhas de e-mails no domínio “gov.br”, usado pela administração pública, foram afetadas. Outras 4.589 senhas do domínio “jus.br” foram disponibilizadas, o que inclui senhas do STF. A reportagem encontrou pelo menos um e-mail diretamente ligado ao gabinete do ministro Dias Toffoli. Há na lista também um e-mail diretamente ligado ao gabinete do então ministro Teori Zavascki, morto em 2017. Foram encontradas 98 senhas do domínio “stf.jus.br”. 

CONTiNUA APÓS PUBLICIDADE

Além disso, 218 senhas do domínio “camara.leg.br” estão listadas. Nessa base é possível encontrar o e-mail que o presidente Jair Bolsonaro (sem partido) usava na época em que era deputado federal — mais uma indicação de que a compilação reúne dados de vários anos diferentes. Além disso, e-mails de mais deputados aparecem na base “camara.gov.br”. No total, há 985 senhas nessa base, incluindo nomes que não estão mais em Brasília, como o do ex-deputado Jean Wyllys.

Já o domínio “senado.gov.br” tem 547 senhas vazadas. Endereços ligados à presidência da república também aparecem. O domínio “presidencia.gov.br” teve 28 senhas vazadas e o “cnv.presidencia.gov.br”, uma. Nenhum dos endereços estava ligado diretamente a nomes que passaram pela presidência nos últimos mandatos. 

Entre os duzentos domínios “gov.br” afetados também aparecem senhas de e-mails da Receita Federal, da Advocacia Geral da União, da Anvisa, da Caixa, do Butantan, da Funai, do IBGE, da Infraero, do Inpi, do INSS e da Polícia Militar em diversos Estados, incluindo São Paulo, Paraná e Distrito Federal. O domínio mais exposto foi o “caixa.gov.br” com 2.197 senhas vazadas. No total, 4.584 domínios da administração pública foram afetados.

Publicidade

Daragon, porém, faz um alerta: “As senhas ‘gov.br’ não significam que os sistemas da administração pública tenham sido invadidos. Esses endereços e senhas, em sua grande maioria, parecem ter sido utilizados em serviços na internet que foram comprometidos”.

Sobre isso, Fábio Assolini, analista da empresa de segurança Kasperky, relembra um mantra importante da indústria: “E-mails profissionais não podem ser cadastrados em sites que não estejam diretamente ligados ao trabalho. Isso aumenta a exposição das empresas e isso vale também para o setor público.”

Em altaLink
Loading...Loading...
Loading...Loading...
Loading...Loading...

Petrobrás

A reportagem também encontrou no vazamento 8.863 senhas ligadas à Petrobrás — nenhum endereço, porém, está ligado a presidentes que passaram pelo comando da empresa nos últimos 10 anos. Foi possível encontrar também um endereço possivelmente ligado ao ministro da Economia, Paulo Guedes, da época em que estava na BR Investimentos.

Com tantas senhas vazadas, só há uma coisa a fazer: trocá-las. “Considerando que um histórico de senhas referente a milhões de pessoas agora esteja nas mãos dos hackers, novas senhas precisam ser aleatórias, imprevisíveis, não utilizando nenhum padrão ou elemento de senhas anteriores”, diz Daragon.

Assolini lembra que, atualmente, as senhas precisam ter 20 caracteres, incluindo letras maiúsculas e minúsculas, números e símbolos. É preciso também que cada serviço tenha uma única senha. Dada a complexidade da tarefa, o analista recomenda usar um software gerenciador de senhas. Para saber se um endereço de e-mail já esteve em bases de vazamentos, Assolini recomenda sites como o have i been pwned, que monitoram situações de vazamentos de e-mails e senhas. 

Sobre o que a administração pública pode fazer, Assolini considera ideal que os responsáveis pela segurança digital acessem bases de dados para tentar identificar os endereços envolvidos. “Uma vez feito isso, é preciso resetar as senhas e avisar o funcionário envolvido”, diz ele. Daragon faz outra recomendação: “Os governos devem buscar ampliar o uso de múltiplos fatores de autenticação para se proteger e usar criptografia atualizada." 

Publicidade

Segundo ele, empresas como Google, LinkedIn e outras estão realizando esforços a fim de bloquear o uso das senhas vazadas. “Os governos devem estar atentos e buscar colocar em prática esforços complementares”, diz. 

Os 200 principais domínio “gov.br” com senhas vazadas

Abaixo os domínios da administração pública mais afetados identificados na análise feita pela Syhunt em parceria com o Estadão

fatec.sp.gov.br, caixa.gov.br, see.sp.gov.br, macae.rj.gov.br, camara.gov.br, policiamilitar.sp.gov.br, previdencia.gov.br, bcb.gov.br, etec.sp.gov.br, pbh.gov.br, prefeitura.sp.gov.br, escola.ce.gov.br, seed.pr.gov.br, tj.rs.gov.br, polmil.sp.gov.br, brigadamilitar.rs.gov.br, agricultura.gov.br, dpf.gov.br, chesf.gov.br, fazenda.sp.gov.br, senado.gov.br, infraero.gov.br, receita.fazenda.gov.br, pmm.am.gov.br, saude.gov.br, agu.gov.br, bnb.gov.br, eletronuclear.gov.br, serpro.gov.br, professor.sp.gov.br, planalto.gov.br, ibge.gov.br, eln.gov.br, sed.sc.gov.br, seduc.am.gov.br, sp.gov.br, tcu.gov.br, bndes.gov.br, anvisa.gov.br, eletronorte.gov.br, emater.mg.gov.br, dprf.gov.br, mte.gov.br, mec.gov.br, educacao.sp.gov.br, seduc.mt.gov.br, sefaz.ba.gov.br, rn.gov.br, ac.gov.br, cptm.sp.gov.br, eletrosul.gov.br, itaipu.gov.br, sed.ms.gov.br, sefaz.go.gov.br, santoandre.sp.gov.br, educacao.rj.gov.br, saude.sp.gov.br, pcrj.rj.gov.br, mj.gov.br, santos.sp.gov.br, prof.educacao.rj.gov.br, fazenda.gov.br, anatel.gov.br, sefaz.rs.gov.br,, finep.gov.br, planejamento.gov.br, tj.sp.gov.br, butantan.gov.br, tce.sp.gov.br, almg.gov.br, meioambiente.mg.gov.br, recife.pe.gov.br, conab.gov.br, epagri.sc.gov.br, rio.rj.gov.br, inca.gov.br, pr.gov.br, sjp.pr.gov.br, trf1.gov.br, bauru.sp.gov.br, aracaju.se.gov.br, ipea.gov.br, ans.gov.br, seduc.go.gov.br, cprm.gov.br, tj.sc.gov.br, itamaraty.gov.br, anac.gov.br, inmetro.gov.br, mp.rs.gov.br, mds.gov.br, sms.curitiba.pr.gov.br, incra.gov.br, suframa.gov.br, inpi.gov.br, centropaulasouza.sp.gov.br, funasa.gov.br, jundiai.sp.gov.br, inpa.gov.br, ibama.gov.br, stj.gov.br, mme.gov.br, desenvolvimento.gov.br, jfrs.gov.br, cnen.gov.br, sefaz.sc.gov.br, fundacentro.gov.br, educacao.mg.gov.br, fnde.gov.br, saude.es.gov.br, blumenau.sc.gov.br, tjdf.gov.br, mda.gov.br, cidasc.sc.gov.br, pc.sc.gov.br, sefaz.ce.gov.br, celepar.pr.gov.br, transportes.gov.br, educ.al.gov.br, int.gov.br, pmdf.df.gov.br, procergs.rs.gov.br, campinas.sp.gov.br, mma.gov.br, sme.curitiba.pr.gov.br, salvador.ba.gov.br, caxias.rs.gov.br, mre.gov.br, educacao.pe.gov.br, fas.curitiba.pr.gov.br, edunet.sp.gov.br, amazonasenergia.gov.br, guarulhos.sp.gov.br, prodemge.gov.br, tse.gov.br, iac.sp.gov.br, seduc.ce.gov.br, novohamburgo.rs.gov.br, sjc.sp.gov.br, cetesbnet.sp.gov.br, saude.rj.gov.br, tce.rj.gov.br, prodam.sp.gov.br, tce.pe.gov.br, inss.gov.br, inb.gov.br, saobernardo.sp.gov.br, funed.mg.gov.br, sefaz.pe.gov.br, joinville.sc.gov.br, esporte.gov.br, mdic.gov.br, sefa.pr.gov.br, funai.gov.br, fde.sp.gov.br, londrina.pr.gov.br, dnpm.gov.br, planejamento.mg.gov.br, cidades.gov.br, cvm.gov.br, saocaetanodosul.sp.gov.br, barueri.sp.gov.br, inep.gov.br, saude.rs.gov.br, fazenda.mg.gov.br mct.gov.br, saude.sc.gov.br, seed.se.gov.br, cti.gov.br, anp.gov.br, caesb.df.gov.br, sorocaba.sp.gov.br, saude.ce.gov.br, cohapar.pr.gov.br, piracicaba.sp.gov.br, codevasf.gov.br, jbrj.gov.br, acessaescola.sp.gov.br, tst.gov.br, emater.pr.gov.br, cultura.gov.br, mp.sc.gov.br, into.saude.gov.br, receita.pb.gov.br, mp.mg.gov.br, pm.pr.gov.br, igp.rs.gov.br, botucatu.sp.gov.br, urbs.curitiba.pr.gov.br, trf3.gov.br, cati.sp.gov.br, iphan.gov.br, turismo.gov.br, pgr.mpf.gov.br, antt.gov.br, mp.ba.gov.br, fazenda.ms.gov.br, defesasocial.mg.gov.br, tce.rs.gov.br, epe.gov.br

Atualização

Após a publicação da reportagem, o Serpro entrou em contato e confirmou a possibilidade levantada por Felipe Daragon, fundador da Syhunt, de que as senhas comprometidas foram usadas em sites externos. Segue a nota: 

O Serpro afirma que suas bases de dados permanecem íntegras e seguras, em resposta às informações publicadas hoje na reportagem “Megavazamento global expõe mais de 10 milhões de senhas de e-mails brasileiros” do Estado de S. Paulo. 

Publicidade

A empresa informa a seus clientes e à sociedade que os dados divulgados no vazamento foram analisados pelos especialistas de segurança do Serpro e todas as 323 contas identificadas com domínio “serpro.gov.br” tratam-se de cadastros em outros sites e portais externos, por login utilizando o e-mail corporativo, portanto, não tendo como origem as bases de dados do Serpro.

A empresa garante que suas bases de dados permanecem íntegras e que não houve qualquer tipo de incidente de segurança nos domínios administrados pelo Serpro. Mais uma vez, a empresa reafirma o seu compromisso com a segurança dos dados do Estado brasileiro e com a privacidade do cidadão.

Comentários

Os comentários são exclusivos para assinantes do Estadão.