RockYou2024 e as outras quatro maiores violações de dados da história

Uma análise dos vazamentos de dados mais importantes de todos os tempos: do Yahoo ao RockYou2024.

Nos últimos anos, houve um aumento constante na quantidade de dados comprometidos. Notícias de novos vazamentos e invasões chegam quase todos os dias, e nós da Kaspersky não medimos esforços para informar você sobre a necessidade de proteção robusta, agora mais do que nunca.

Hoje, nos aprofundamos na história e relembramos (com desconforto) as maiores e mais graves violações de dados (DBs) de todos os tempos. Para descobrir a dimensão do vazamento e o tipo de informação envolvida, quem foi afetado e muito mais, continue lendo…

1.   RockYou2024

Em resumo: hackers coletaram dados de vazamentos anteriores e lançaram a maior compilação já feita de senhas de usuários reais: 10 bilhões de registros!

Quando: 2024.

Quem foi afetado: usuários em todo o mundo sem proteção forte.

O RockYou2024 é o rei dos vazamentos e uma dor de cabeça para aqueles que pensavam que os hackers não estavam interessados neles. Em julho de 2024, os cibercriminosos vazaram uma coleção gigantesca de senhas em um fórum de hackers: 9.948.575.739 registros únicos no total. Apesar de ser uma compilação baseada no antigo vazamento RockYou2021, o RockYou2024 ainda é arrasador, por assim dizer.

Nosso especialista, Alexey Antonov, analisou a violação e descobriu que 83% das senhas vazadas foram quebradas por um algoritmo de adivinhação inteligente em menos de uma hora, com apenas 4% delas (328 milhões) capazes de serem consideradas fortes: exigindo mais de um ano para serem quebradas usando um algoritmo inteligente. Para obter detalhes sobre como os algoritmos inteligentes funcionam, consulte nosso estudo sobre a força de senhas, que, analisando senhas de usuários reais vazadas na dark web, mostra que muitos de nós ainda somos surpreendentemente indiferentes quanto à segurança de senhas.

Ao analisar o vazamento mais recente, Alexey filtrou todos os registros não relevantes e trabalhou com a matriz restante de… 8,2 bilhões de senhas armazenadas em algum lugar em texto simples!

2.   CAM4

Em resumo: um servidor mal configurado expôs 11 bilhões de registros de clientes ao domínio público. Informações confidenciais de verdade, considerando que o CAM4 é um site adulto!

Quando: 2020.

Quem foi afetado: usuários do site adulto CAM4.

Essa história é interessante por dois motivos: quais informações foram vazadas e como. Entre os detalhes “padrão” vazados (nome, sobrenome, endereço de e-mail, registros de pagamento etc.) estavam informações de natureza muito mais íntima: preferências de gênero e orientação sexual. Os usuários precisavam fornecer essas informações no momento da inscrição antes que pudessem aproveitar o conteúdo da plataforma de streaming para adultos.

O vazamento foi causado por um banco de dados Elasticsearch inseguro. No entanto, o caso não terminou tão mal nem tão embaraçosamente: se compilarmos todos os relatórios de vazamentos relacionados a esse banco de dados em um livro físico, teríamos um grande volume no qual a história do CAM4 ocuparia um capítulo pequeno, mas importante: “O maior vazamento de dados da história que nunca existiu”. Felizmente, o banco de dados foi desativado meia hora após a descoberta do erro e, posteriormente, movido para uma rede local interna. Os dados pessoais dos usuários foram excluídos.

3.   Yahoo

Em resumo: um ataque de hackers afetou todos os três bilhões de usuários da plataforma, mas o Yahoo admitiu isso apenas três anos depois.

Quando: 2012, 2013… ou foi 2014? Nem o Yahoo sabe ao certo.

Quem foi afetado: todos os usuários do Yahoo.

Há mais de uma década, o Yahoo foi hackeado (tudo começou com um e-mail de phishing), levando a uma série de notícias sobre um suposto vazamento de dados. Os relatos iniciais mencionavam algumas centenas de milhões de contas invadidas, depois, aumentaram para cerca de 500 milhões e, em 2017, na véspera do acordo da empresa com a Verizon, descobriu-se que todas as três bilhões de contas foram afetadas. Os hackers conseguiram nomes, endereços de e-mail, datas de nascimento e números de telefone. Pior ainda, eles tiveram acesso às contas de usuários que passaram anos sem alterar suas senhas. Agora você entende por que é tão importante alterar as senhas regularmente e excluir perfis antigos?

Este incidente é mais uma prova de que até mesmo as gigantes da tecnologia às vezes falham em armazenar os dados dos usuários adequadamente. No caso do Yahoo, os invasores encontraram um banco de dados de perguntas e respostas de segurança não criptografadas, e algumas contas não tinham autenticação de dois fatores. Portanto, a moral da história é: não conte com redes sociais ou plataformas on-line para proteger suas contas pessoais. Crie ou gere senhas fortes e armazene-as no Kaspersky Password Manager. E se você estiver preocupado que seus dados já possam ter vazado, instale qualquer uma das nossas soluções de segurança residencial: Kaspersky Standard e Kaspersky Plus permitem que especifique todos os endereços de e-mail que você e sua família usam para fazer login nos serviços on-line. O aplicativo verifica regularmente esses endereços e relata quaisquer violações de dados envolvendo contas vinculadas a eles.

No Kaspersky Premium, além de uma lista de e-mail, você pode adicionar números de telefone. Eles geralmente são usados para identificar usuários de serviços on-line mais confidenciais, como os bancários. Nosso aplicativo procura esses números e endereços em todos os novos vazamentos de banco de dados e, se encontrados, avisa e aconselha o que fazer (leia mais sobre como protegemos você contra vazamentos de dados pessoais on-line ou na dark web).

4.   UIDAI (Aadhaar)

Em resumo: os dados biométricos de quase todos os cidadãos e residentes da Índia foram colocados à venda.

Quando: 2018.

Quem foi afetado: 1,1 bilhão de cidadãos e residentes da Índia.

A Autoridade de Identificação Única da Índia (UIDAI) opera o maior sistema de identificação biométrica do mundo, armazenando dados pessoais, impressões digitais e fotos da íris de mais de um bilhão de pessoas naquele país.

Enquanto muitos países ao redor do mundo estão apenas planejando implementar a identificação biométrica, a Índia já possui esse sistema há mais de uma década. A UIDAI foi criada para que cada residente da Índia tivesse um número de identidade oficial único, o Aadhaar.

Mas em 2018, após uma série de vazamentos de dados, os cibercriminosos não apenas colocaram as mãos no banco de dados, mas também o venderam por apenas 500 rúpias (cerca de US$ 6 na taxa de câmbio atual). Outra grande violação de dados ocorreu em 2023, desta vez afetando 815 milhões de indianos.

Bancos e agências de aplicação da lei continuam a aconselhar as vítimas dos vazamentos a desativar a autenticação biométrica para serviços financeiros. Mas isso não é garantia de segurança, pois seus nomes, números de passaporte, fotos, impressões digitais e outras informações provavelmente estão nas mãos de cibercriminosos.

5.   Facebook

Em resumo: a empresa não notificou os usuários sobre uma violação de dados que ela conhecia há dois anos.

Quando: 2019.

Quem foi afetado: 533 milhões de usuários do Facebook.

Ninguém mais se surpreende ao ver as palavras “Facebook” e “vazamento” lado a lado. A plataforma é vítima regular de ataques de hackers e vazamentos internos. Essa violação em particular (a maior na história da empresa) fez com que os nomes, números de telefone e dados de localização de 533 milhões de usuários caíssem nas garras dos criminosos cibernéticos. Eles, então, postaram os dados em um fórum de hackers, onde qualquer pessoa poderia baixar tudo de graça. E não apenas os dados de contas de usuários regulares, mas também os de figuras públicas, incluindo o comissário de Justiça da UE, Didier Reynders, e o então primeiro-ministro (agora ministro das Relações Exteriores) Xavier Bettel de Luxemburgo.

Se você suspeita que também pode ter sido afetado pelo vazamento de dados do Facebook, use nossa ferramenta Verificador de senhas para descobrir se sua senha foi comprometida nesse ou em outros vazamentos.

Os dados vazados eram de 2018 e 2019, embora as informações sobre eles tenham aparecido apenas em 2021. Como isso aconteceu? O fato é que os hackers exploraram a vulnerabilidade em 2019, que o Facebook corrigiu imediatamente, mas depois, a empresa se esqueceu ou preferiu não informar os usuários sobre o incidente. Como resultado, a Meta enfrentou críticas pesadas, além de uma pesada multa de € 265 milhões (~ US$ 276 milhões em 2021).

O que esses vazamentos nos ensinam?

O fio condutor de todas essas histórias é: “A Big Tech ajuda aqueles que se ajudam”. Em outras palavras, nós somos os principais responsáveis pela segurança dos nossos dados; não o Facebook, nem o Yahoo, nem mesmo os governos. Cuide de suas contas, crie ou gere senhas fortes, armazene-as em um gerenciador de senhas seguro e tome cuidado especial com dados biométricos.

  • Não reutilize senhas. Se você é do tipo “uma senha para todas as ocasiões” e usa a Internet há pelo menos alguns anos, temos más notícias para você (no link).
  • Verifique se suas senhas foram comprometidas. Se você tem nossa proteção, é possível usar a ferramenta Verificador de vazamento de dados para inserir uma lista de endereços de e-mail e verificar suas contas de usuário. Os usuários do Kaspersky Premium também têm a opção de verificar números de telefone usando o recurso Identificar proteção contra roubo. O os aplicativos verificam automaticamente essas informações quanto à exposição em novos vazamentos. E em nosso gerenciador de senhas, basta selecionar Verificação de senha no menu ou clicar no ícone de chave na barra de tarefas e todas as senhas armazenadas são verificadas quanto à força, exclusividade e vazamentos. Todos podem usar nosso serviço Verificador de senha grátis.
  • Use a autenticação multifator (2FA) sempre que possível.
  • Não armazene senhas em navegadores. Use um gerenciador de senhas para gerar senhas exclusivas e criptograficamente fortes para todas as contas importantes e, então, bastará criar e se lembrar de apenas uma senha principal que servirá como a chave mestra para todas as outras. Isso protege e criptografa seu cofre de senhas e outros dados vitais.
Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?