G1 Explica é uma série do blog Segurança Digital que aborda temas em um formato de perguntas e respostas. O primeiro G1 Explica de 2016 é sobre os vazamentos dados. Confira!
1. O que é um vazamento de dados?
Um vazamento de dados ocorre quando informações que não deveriam ser públicas são disponibilizadas na web por um invasor que obteve acesso não autorizado aos dados. Um vazamento também pode ser uma informação de alguma forma encontrada por pesquisadores de segurança, indicando a possibilidade de que outras pessoas – possivelmente criminosos – tiveram acesso aos mesmos dados antes do “local de vazamento” ser fechado.
De maneira mais geral, um vazamento também pode ser um roubo sistemático de informações que ocorreu com um ataque. Mas esses vazamentos são diferentes, já que normalmente os dados não ficam disponíveis publicamente, sendo usados exclusivamente pelos criminosos que realizaram os ataques. Se os dados forem colocados à venda no submundo da web (ou na “deep web”), porém, o ataque fica mais parecido com os demais vazamentos.
2. Como os invasores obtêm informações?
Empresas podem cometer diversos erros que expõem dados na rede. Arquivos podem ser deixados em locais sem autenticação adequada (sem senha para acesso) ou um banco de dados pode estar exposto de alguma forma, seja por configuração inadequada ou por causa de um erro em uma página web, por exemplo.
O criminoso também pode conseguir acesso às informações atacando e invadindo um servidor e então roubando as informações privilegiadas.
Uma causa comum de vazamentos são falhas de “injeção SQL”. SQL é a linguagem usada para enviar comandos a bancos de dados. A falha de injeção SQL permite que um invasor envie seus próprios comandos ao banco de dados e ele pode se aproveitar disso para retirar informações, mesmo que pouco a pouco. No fim, ele pode acabar conseguindo todas as informações.
3. Onde as informações são vazadas?
Muitos vazamentos são chamados de “pastes” por serem colocados em sites como o Pastebin. Esses sites não são maliciosos; eles foram criados como ferramentas de auxílio voltadas principalmente para sites de programação, permitindo que os participantes fizessem um “CTRL-C CTRL-V” (copiar e colar; o “colar”, em inglês, é o “paste”) de um código de programação para pedir ajuda.
Por isso, esses sites permitem o compartilhamento de uma grade quantidade de dados em formato texto. Para facilitar o uso, eles são normalmente anônimos. Por isso, os “pastes” são muito usados para vazamentos menores, para pedaços de um vazamento maior ou mesmo para publicar orientações que levem ao resto das informações.
Outro meio comum para distribuir dados de vazamentos é o BitTorrent. Os vazamentos da Ashley Madison e do Hacking Team em 2014 foram distribuídos por esse meio. (entenda o BitTorrent)
4. Qual o objetivo dos vazamentos?
Alguns vazamentos são realizados como forma de ativismo ou protesto. Foi, também, o caso do site Ashley Madison (os invasores acusaram a empresa de enganar usuários) e do Hacking Team (por ativistas que não concordam com o modelo da empresa de oferecer “serviços de invasão” para governos).
Outros vazamentos ocorrem como “propaganda” de um conjunto maior de dados que o invasor pode ter em mãos e que ele está vendendo, por exemplo. Esses conjuntos podem eventualmente ser vazados integralmente por algum dos compradores.
Parte dos vazamentos ocorre sem motivo específico, simplesmente para danificar a reputação das empresas envolvidas.
Em alguns casos não dá para saber se os dados foram realmente parar na mão dos criminosos. No caso do site Patreon, por exemplo, o problema foi identificado por um pesquisador de segurança. Não se sabe se alguém teve acesso às informações.
5. Quem é o responsável por esses vazamentos?
Quem precisa proteger seus sistemas de ataques são as empresas. Porém, em alguns casos isso é complicado: existem certas pessoas dentro das empresas que, até pela função que desempenham, precisam ter algum acesso às informações. E essas pessoas podem, por algum motivo, querer se vingar da companhia no futuro.
Mesmo nesses casos, a empresa pode se proteger de alguns abusos usando criptografia e limitando o acesso de quem realmente não precisa da informação.
Em muitos casos, porém, vazamentos públicos ocorrem por conta de descuidos na segurança e por invasões externas.
6. Como posso saber que meus dados foram vazados?
O site have I been pwned? pode notificar você caso seus dados sejam vazados em alguns serviços. Ele só funciona com alguns vazamentos (especificamente aqueles cujos dados foram parar integralmente na web), mas é um bom auxílio, especialmente para acompanhar vazamentos de sites menores que podem não ser noticiados.
7. O que posso fazer no caso de um vazamento?
Regras e medidas adequadas para essas situações ainda precisam ser estabelecidas.
Por enquanto, vai depender do que foi vazado. Em muitos casos será preciso trocar uma senha. Se for muito grave, talvez você tenha que cancelar o cartão de crédito. No entanto, empresas brasileiras ainda não são obrigadas pela lei a vir a público com informações de vazamentos, caso elas sejam atacadas, o que significa que seus dados podem estar circulando sem o seu conhecimento.
Proteger-se desses vazamentos é difícil. Tente usar senhas diferentes sempre que possível para que não haja risco de um vazamento comprometer outras contas. Em especial, use senhas exclusivas para serviços importantes, como e-mail e serviços financeiros.
Fonte: Como acontecem os vazamentos de dados? G1 Explica. G1.globo.com, 2016. Disponível em: http://g1.globo.com/tecnologia/blog/seguranca-digital/post/como-acontecem-os-vazamentos-de-dados-g1-explica.html. Acesso em 30 de jul. de 2020.