Os hackers visam seus dados pessoais para obter lucro
EThamFoto/Alamy
Certifique-se de usar uma boa mistura de personagens. Evite o nome do seu animal de estimação. Mais importante ainda, nunca reutilize senhas. Todos conhecemos as regras para garantir que as chaves do nosso reino digital permaneçam seguras e provavelmente todos nós as violamos – e é aí que os hackers entram para ganhar dinheiro com a venda dos seus dados.
O mercado de dados pessoais roubados está prosperando na dark web, sites que estão fora dos limites da internet normal e só podem ser acessados através de software como Torque foi originalmente concebido pelas agências de inteligência dos EUA para comunicações secretas. Nem tudo lá é nefasto – por exemplo, a BBC News administra um site obscuro para pessoas que vivem sob vigilância opressiva – mas a maior parte é.
Para saber mais, procurei Rory Hattinghum hacker ético de uma empresa chamada Evalian, que passa seu tempo invadindo empresas – legalmente – para testar a segurança. Ele me disse que havia uma chance “muito pequena” de nenhum dos meus dados pessoais ter sido vazado por hackers. Escrevi sobre tecnologia por tempo suficiente para entender como as violações de dados são comuns, mas ser confrontado com a dura realidade de que isso me incluía foi de fato um alerta.
Hattingh começou me mostrando um site chamado Eu fui enganado (gíria que significa que seus dados foram comprometidos), que compila nomes de usuário e senhas compartilhados na dark web em um banco de dados pesquisável. Digitei meu endereço de e-mail e, de forma preocupante, descobri que ele havia sido atingido por 29 ataques de hackers.
A mais recente foi em 2024, quando o Internet Archive foi atacado e meu e-mail e senha vazaram. Meus detalhes também faziam parte de 122 gigabytes de dados de usuários extraídos de milhares de canais do Telegram, bem como de um banco de dados chamado Naz.API que foi originalmente postado em um fórum de hackers. Outros ataques listados envolvem roubo de endereços postais, cargos, números de telefone, endereços IP, dicas de senha e datas de nascimento de serviços como Adobe, Dropbox e LinkedIn.
Em teoria, esses vazamentos têm valor limitado: se o LinkedIn fosse, digamos, hackeado e seu nome de usuário e senha vazassem, isso não afetaria sua conta do Facebook. A menos, é claro, que você seja uma das mais de 60% das pessoas que o usam a mesma senha repetidamente. Nesse caso, os hackers podem pegar esses dados e navegar pela Internet, utilizando-os em qualquer lugar – geralmente de forma muito rápida e automatizada. Então, diz Hattingh, “você está com muitos problemas”.
Isso pode incluir compras online com seus dados de pagamento salvos, uma conta PayPal ou uma carteira de criptomoeda. Obter acesso a uma conta também pode ajudar a obter acesso a outras contas, sendo o e-mail o jackpot. Depois de enviar e receber e-mails de uma conta, você poderá redefinir senhas e invadir todos os tipos de outros sites, sem mencionar contas de cobrança doméstica e talvez até mesmo serviços bancários on-line. Os hackers que têm acesso às redes sociais ou contas de e-mail também podem tentar enganar amigos e familiares com histórias falsas sobre uma emergência que exige uma transferência bancária rápida. O fato de que isso vem de uma conta real dá ao truque plausibilidade suficiente para afastar as suspeitas até que seja tarde demais.
Pior ainda, embora algumas empresas que sofrem hacks sejam rápidas em notificar as pessoas e instá-las a alterar suas senhas, outras podem ser mais lentas, deixando as pessoas vulneráveis por meses ou até anos. Hattingh disse que em trabalhos anteriores, para clientes não identificados, ele veria ataques de ransomware irem e virem sem pânico. Esses ataques fazem com que os dados da vítima sejam criptografados e retidos para resgate, tornando-os inúteis, a menos que você pague hackers para obter suas senhas – mas cada vez mais empresas estão simplesmente vendo isso como um custo para fazer negócios.
“Essas empresas serão hackeadas duas, três vezes por ano”, disse Hattingh. “Eles têm fundos especiais em caso de problemas. Eles pagam e seguem em frente. E isso acontece no mundo todo, o tempo todo.”
Dado que meus dados pessoais são expostos desta forma, as notas em Have I Been Pwned são semelhantes à carne recuperada mecanicamente que você pode encontrar em nuggets de frango. Hattingh disse que os maiores lucros provenientes de dados pessoais surgem quando hackers sofisticados invadem sites pela primeira vez e roubam novos dados para vender a outros, que lucram com a sua exploração. Assim que os primeiros compradores extrairem o que puderem, os dados serão vendidos continuamente. Uma vez selecionados os dados mais lucrativos, o restante pode ser divulgado gratuitamente em fóruns de hackers, canais do Telegram ou outros cantos obscuros da web, onde o Have I Been Pwned também os coleta.
Continuando a subir na cadeia alimentar, Hattingh me mostrou um serviço pago chamado DeHashed, que não apenas oferecia extensas descrições de violações como Have I Been Pwned, mas também o conteúdo real, incluindo senhas. O nome deste serviço refere-se ao processo de segurança comum de “hashing”, ou ofuscar senhas para impedir que sejam copiadas. Dehashing, é claro, remove-o. O que eu pensei ser o pior caso, mas agora percebo que é realmente comum, acabou sendo verdade: pelo menos uma das senhas listadas ao lado do meu endereço de e-mail era uma senha familiar e atual. Em teoria, não há nada que impeça hackers – ou qualquer outra pessoa interessada – de entrar em pelo menos uma das minhas contas online.
DeHashed é um serviço pago, que custa US$ 219,99 por ano, destinado a “agências de aplicação da lei e empresas da Fortune 500”. Entrei em contato com a empresa para perguntar se eles estavam preocupados com o fato de sua ferramenta, que na verdade apenas coleta detalhes vazados em outros lugares, poder ser útil tanto para hackers quanto para autoridades de segurança. Não recebi resposta.
Decidi me aprofundar na dark web. falei com Anish Chauhan no Equilibrium Security Services, que me mostra os resultados das pesquisas realizadas pelo software especializado de sua equipe, que rastreia de forma mais ampla e profunda do que qualquer ferramenta comercial que vi até agora. Ele encontrou 24 senhas vinculadas às minhas contas online.
“Os usuários podem dizer: ‘Tenho uma senha de 200 caracteres, ninguém vai forçá-la’”, disse Chauhan. “Mas digamos que eles o usem em todos os sites que usam. Isso o torna irrelevante, porque eventualmente será hackeado. Como humanos, apenas seguimos o caminho de menor resistência, sabe?”
Chauhan diz que a solução é relativamente simples e todos nós já ouvimos isso antes: use uma senha diferente para cada conta. Depois de ver como meus dados foram amplamente compartilhados, ficou claro por que isso era importante.
O fato é que já existem ferramentas para tornar isso mais fácil – a maioria dos dispositivos e navegadores de internet modernos devem vir com um gerenciador de senhas que gere senhas aleatórias fortes e lembre-as de todas para você. Se você está preocupado com o vazamento de sua senha, pode valer a pena conferir o Have I Been Pwned ou pagar por um serviço mais extenso que vasculha as áreas nefastas da Internet em busca de evidências de vazamento.
Nos últimos anos, tenho usado gerenciadores de senhas para gerar senhas fortes e gerenciá-las para mim, mas percebi que alguns dos serviços que utilizo há muito tempo apodreceram com logins antigos e hackeados. Passei a noite consertando, até porque queria estar pronto antes da publicação deste artigo.
Mas não me culpo muito. Diante de inúmeras demandas para fornecer novos detalhes de login, não é de admirar que às vezes optemos pelo caminho mais fácil. Certamente não estou sozinho fazendo isso.
“Sou uma pessoa bastante experiente em tecnologia e raramente mudo minhas senhas”, disse Hattingh. “No trabalho eu mudo, mas na vida pessoal sou um pouco mais preguiçoso.”
Tópico:
