Logo Folha de Pernambuco

Dados

Quase 50 mil emails e senhas do governo ficam expostos em 2021, diz relatório

A alta em relação aos três meses anteriores é de 580%

Vazamento de dadosVazamento de dados - Foto: Marcello Casal Jr/Agência Brasil

 Em um início de ano marcado pelo chamado megavazamento de dados e por ataques pontuais a empresas públicas e privadas, mais de 47 mil senhas e emails ligados a administrações públicas do Brasil -a maior parte do governo federal- vazaram ou foram expostos na internet no primeiro trimestre, mostra relatório exclusivo da Axur, empresa de cibersegurança.

A alta em relação aos três meses anteriores é de 580%. A empresa também detectou 122 mil credenciais (email e senha) de domínios corporativos.

As credenciais não necessariamente dão acesso aos sistemas internos, pois podem ter sido vazadas a partir de cadastros feitos em outros sites utilizando esses emails. Algumas também são antigas, mas vêm sendo agregadas a compilados de dados mais amplos vendidos na internet.
 


Considerando todos os pares de email e senha detectados pela empresa, o 123456 disparou como a senha mais utilizada, representando 43% das dez mais vazadas. Seu uso é quase três vezes superior ao da segunda preferida pela população, a 123456789.

Do total, 80% contêm apenas números ou letras maiúsculas. Esses registros vêm de vazamentos governamentais recentes ou antigos, como da SPtrans e do extinto Ministério do Trabalho -hoje com atribuições integradas a outros ministérios-, e empresariais. Um exemplo é a Nitro PDF, uma aplicação online quer permite a edição de documentos em PDF, que teve 14 GB de informações divulgadas no início do ano, segundo o relatório.

Em nota, a Secretaria de Governo Digital do Ministério da Economia diz que os sistemas do governo não foram alvo de ataques bem-sucedidos e que nenhuma informação de Estado foi comprometida a partir de fatos apurados até agora.

"Levantamento anterior, realizado em março deste ano, já havia concluído que todas as contas identificadas se referiam a cadastros dos usuários em aplicativos ou portais privados, onde o usuário utilizou o seu e-mail institucional. Portanto, reforçamos não ter havido comprometimento de nenhum sistema ou informação governamental."

Segundo a Axur, houve um megavazamento de credenciais em fevereiro, na base de dados que hackers e especialistas estão chamando de Compilado 2021, com dados e informações coletadas em vazamentos desde 2013. Esse agregado reúne 2,2 bilhões de credenciais, não apenas referentes ao Brasil.

Para especialistas, a rápida transformação digital das empresas durante a pandemia criou novas brechas para o cibercrime. O ransomware, ataque em que hackers sequestram dados de uma companhia e pedem dinheiro para liberá-los, também cresceu no período.

Até a LGPD (Lei Geral de Proteção de Dados), cujas multas podem ser aplicadas a partir do meio do ano, poderá ser usada como elemento de chantagem pelos criminosos.

"É provável que façam a extorsão [dos dados] depois que as multas estiverem vigentes. Pode ser um grande incentivo para a atividade criminosa, porque uma grande empresa prefere pagar um resgate de, por exemplo, R$ 5 milhões, do que eventualmente R$ 50 milhões pelo vazamento [valor máximo da multa]", diz Fábio Ramos, presidente da Axur.
A empresa estima que, a partir de grandes vazamentos globais do início do ano, cerca de 3,7 bilhões de dados pessoais tenham sido expostos indevidamente nos três primeiros meses.

No Brasil, o maior incidente foi o megavazamento que expôs 223 milhões de CPFs, além do arquivo que contém o CNPJ de 40 milhões de empresas, 104 milhões de dados de veículos e outros 39 tipos de documentos. A investigação do caso ainda não foi concluída.

"O vazamento está sendo pego a reboque do ransomware, que está em franco crescimento. Os criminosos estão se profissionalizando em um esquema de franquia e de áreas especializadas, que envolve a criação do ransomware e a venda do acesso a uma empresa", diz Alexandre Sieira, fundador da Tenchi Security.

O Brasil sempre teve uma grande quantidade de dados disponível ou comercializada, e a LGPD, segundo o especialista, tornou ilegal a atividade de empresas que antes vendiam informações públicas sem penalidades. "Sempre existiu essa indústria que coletava informação pública, empacotava e vendia sem consentimento do titular. Agora ela migrou para os fóruns ilegais", afirma.

O Brasil teve 250 mil cartões de crédito e débito expostos no primeiro trimestre, ainda segundo a Axur, o que representa 59,4% do total. É mais que o dobro de números identificados nos Estados Unidos, que ocupa o segundo lugar da lista.
A empresa de cibersegurança fez o relatório a partir do monitoramento diário de milhões de URLs e artefatos maliciosos detectados por sua equipe e por sistemas de inteligência artificial. Ao menos 12 bases foram analisadas, tanto da web superficial, como da deep e dark web, que não são indexadas por buscadores, como o Google.

Veja também

Governo bloqueia R$ 6 bilhões do Orçamento de 2024
Orçamento de 2024

Governo Federal bloqueia R$ 6 bilhões do Orçamento de 2024

Wall Street fecha em alta com Dow Jones atingindo novo recorde
Bolsa de Nova York

Wall Street fecha em alta com Dow Jones atingindo novo recorde

Newsletter