Brasil, São Paulo, 30 de Setembro de 2021 - Não está claro se é precisa a afirmação de que os diversos relatórios com 3,8 bilhões de registros de usuários do Clubhouse e do Facebook estão à venda na dark web.
De acordo com a Avast (LSE: AVST), líder global em privacidade e segurança digital, os dados em questão parecem remontar uma afirmação feita em julho de 2021, na qual 3,8 bilhões de números de telefones de usuários do Clubhouse estariam à venda na dark web. No entanto, essa afirmação foi rejeitada, na época, por pesquisadores de segurança como uma campanha de marketing na dark web.
"Independentemente dos relatórios mais recentes serem precisos ou não, dados similares já estão disponíveis desde abril de 2021, quando as informações de 1,3 milhão de usuários do Clubhouse foram postadas online a partir de uma "coleta" (scrapping) de informações públicas", comenta Christopher Budd, Gerente Sênior de Comunicações de Ameaças Globais. "Naquela época, dados do Facebook e do LinkedIn, também coletados, foram liberados online. Não é difícil para agentes mal-intencionados obterem todos os três conjuntos de dados e buscarem combinar as informações deles em um único conjunto e explorá-los", diz.
Para o especialista, mesmo que os relatórios mais recentes sejam precisos ou não, o fato é que mais de 1 bilhão de usuários já estão disponíveis, e isso é suficiente para que as pessoas tomem medidas para se protegerem melhor devido a esses vazamentos de dados confirmados, isto se os usuários ainda não o fizeram. Os maiores riscos que um grande banco de dados como esse pode representar é o aumento do risco de spam por e-mail e SMS, ataques de phishing e ataques de controle de contas.
"Os invasores podem ter como alvo qualquer tipo de conta, mas as mais preocupantes seriam contas de e-mails e contas de instituições financeiras, como bancos. Em particular, se os invasores puderem emparelhar um número de telefone celular com uma pessoa específica, eles podem tentar realizar ataques de clonagem/troca de SIM (Sim Swapping), que podem ser aplicados para derrotar a autenticação de dois fatores usada para proteger as contas de e-mail e financeiras em particular", completa Christopher Budd.
Em resposta a esses vazamentos de dados, a Avast recomenda que as pessoas tomem duas ações:
- Atenção às informações que são públicas: mesmo as informações que estejam em um site de mídia social, são públicas e podem ser copiadas para serem coletadas, agrupadas e compiladas em grandes bancos de dados, os quais podem ser vendidos na dark web. Dessa forma, considere definir perfis como "não públicos" ou tenha muito, muito cuidado com as informações que são compartilhadas publicamente.
- Proteja-se contra clonagem/troca de SIM: use aplicativos de autenticação, em vez de mensagens de texto SMS para o seu segundo fator de segurança, quando possível. Proteja-se contra a clonagem/troca de SIM, trabalhando com sua operadora de celular para colocar obstáculos contra esse tipo de ataque, de modo que as trocas de SIM ocorram apenas com sua autorização explícita, se houver suporte para isso.
Mais informações também estão disponíveis no Blog da Avast (em inglês): https://blog.avast.com/are-user-records-of-3.8-billion-clubhouse-and-facebook-users-for-sale.
