Notícias a respeito de vazamentos de dados estão se tornando cada vez mais comuns. Nós mesmos noticiamos ontem (17) que uma lista contendo informações de 1 milhão de clientes da Netshoes foi divulgada na web; pouco tempo atrás, a polêmica da vez era relacionada ao aplicativo Uber, que pagou um jovem hacker de 20 anos para que ele mantivesse um grave vazamento em segredo. E isso sem citar a OnePlus e a GearBest, que também foram descuidadas nesse quesito.

Sempre que um novo caso desse tipo surge na mídia, os internautas começam a se fazer as mesmas perguntas. Mas, afinal, como isso aconteceu? Qual é o objetivo dos hackers? E, o mais importante: quais são os perigos de um vazamento para um cidadão comum, que é uma simples vítima de toda essa bagunça? Afinal, diferente de um phishing, esse tipo de golpe não pode ser evitado pelo internauta em si. Está tudo nas mãos dos sites, serviços e aplicativos que você usa.

Nesta edição do Detetive TudoCelular, resolvemos preparar um artigo bem didático para ensinar aos nossos leitores tudo o que eles querem (e precisam!) saber a respeito de vazamentos de dados. Por mais que, em uma situação como essa, a vítima final não tenha muito poder de reação, é sempre útil saber como tais exposições funcionam, quais males elas podem causar e o que você pode fazer para minimizar os danos.

Um vazamento de dados nada mais é do que o "roubo" e a divulgação (ou exposição) de informações privadas em formato digital. Na maioria das vezes, essas informações são sensíveis e deveriam ser sigilosas, como número de RGs, número de CPFs, endereços residenciais, números de telefone ou celular, nomes de parentes, senhas, números de cartões de crédito e assim por diante. Também é possível ocorrer vazamentos de fotos, documentos e vídeos, mas, aqui, focaremos no primeiro cenário.

Todo site ou aplicativo que você usa possui, dentro de seu servidor, um banco de dados (ou database), que nada mais é do que uma biblioteca virtual que armazena informações essenciais para o seu bom funcionamento. Ao se cadastrar em uma loja virtual e comprar um produto, por exemplo, ela precisa "deixar anotado" o seu email, o seu nome, a sua password e outros dados essenciais para que você não precise informar tudo isso de novo caso queira fechar outra compra no futuro.

Na teoria, essas "anotações" deveriam ficar guardadas de forma segura, inacessíveis para indivíduos não-autorizados. Porém, na prática, quase todo sistema informatizado possui brechas e vulnerabilidades que podem ser exploradas por criminosos, possibilitando o acesso ilegal e o consequente roubo dessas informações. Quando tais dados são extraídos do database e expostos publicamente na web, tal ação fica conhecida como vazamento de dados.

Existem centenas de motivos para ocorrer um vazamento de dados e é difícil eleger o mais comum. Porém, podemos separar as técnicas mais populares usadas pelos criminosos em três categorias diferentes:

• Exploração de vulnerabilidades: é quando o sistema-alvo possui graves falhas em sua construção e o meliante se aproveita delas para acessar o database. Nessa categoria, um tipo de ataque muito comum é o SQL Injection. Ele usufrui de falhas na codificação de uma aplicação para mandar instruções remotas em um banco de dados gerenciado pela linguagem SQL, uma das mais usadas para tal finalidade. Com isso, o cracker consegue manipular informações (inserir, apagar, modificar) e até mesmo fazer uma cópia local completa do database para o seu próprio computador.

Em julho de 2016, ciberativistas Anonymous aplicaram a técnica para obter as credenciais de funcionários do Ministério Público, em uma elaborada manobra que tinha como objetivo final atacar a Agência Nacional de Telecomunicações.

• Engenharia social: geralmente empregadas quando o sistema-alvo não parece apresentar vulnerabilidades críticas em sua construção. As técnicas de engenharia social se baseiam em atacar a parte humana do sistema — ou seja, enganar o administrador de um site ou o programador responsável pelo banco de dados. O envio de emails falsos que levem tais indivíduos a fornecer credenciais de acesso ao database é algo comum, e, acredite ou não, pode enganar muita gente por aí.
• Força bruta: por fim, este método se baseia em forçar a entrada ao painel de administração de um sistema informatizado. Podem ser usados softwares que ficam horas tentando "adivinhar" uma senha, por exemplo. É uma técnica ineficaz, visto que as passwords estão cada vez mais complexas (felizmente) e muitos sistemas possuem proteção contra brute force, bloqueando o formulário de login quando o invasor erra as credenciais repetidamente.

Também existem vazamentos de dados via phishing, contudo, eles são mais raros e dificilmente conseguem coletar uma quantidade razoável de dados. Nesses casos, são os próprios clientes que recebem emails falsos e são redirecionados para páginas maliciosas que se parecem com as originais. Sem perceber o golpe o internauta fornece seus dados pessoais. Saiba mais sobre o assunto neste artigo dedicado.

Em alguns casos, um hacker ético efetua um vazamento de dados apenas para provar que determinado sistema está vulnerável, provando aos seus criadores que é necessário tomar alguma atitude antes que a falha seja descoberta por pessoas erradas. Nessas situações, os dados permanecem seguros, pois o invasor não é mal-intencionado — muito pelo contrário, ele só invadiu o database para ajudá-lo a ficar mais seguro!

Mas nem tudo são flores. No caso de uma invasão criminosa, o cracker geralmente transforma os dados vazados em um documento de texto simples e o publica na web de forma anônima (a plataforma mais usada para isso é a Pastebin), ficando disponíveis para qualquer pessoa que queira usá-los para proveito próprio. E é aí que entra a seguinte pergunta: o que pode ser feito com um banco de dados vazado?

Bom, muita coisa. Dependendo da gravidade do vazamento, um estelionatário pode usar as informações para cometer fraudes diversas, incluindo fazer compras no seu nome, zerar seu cartão de crédito e até mesmo abrir contas com seu CPF. Até mesmo vazamentos "menos graves", que divulgam apenas nome e email, são úteis para os cibercriminosos: com tal lista em mãos, eles conseguem armar uma grande campanha de phishing, que, por sua vez, pesca dados ainda mais valiosos das vítimas.

Infelizmente, como já dissemos anteriormente, um vazamento de dados não depende apenas da vítima final, mas sim da empresa e dos profissionais responsáveis por administrar o database em questão. Contudo, existem algumas recomendações que você pode seguir para tentar reduzir os prejuízos quando o estrago já estiver feito. A principal delas é alterar sua senha imediatamente caso descubra que algum serviço ou site no qual você esteja cadastrado sofreu uma invasão não-autorizada.

Além disso, evite usar as mesmas credenciais em mais de um lugar. O ideal é que cada password seja única; assim, se alguém vazar a sua senha do Facebook, um criminoso não terá sucesso caso tente usá-la para entrar em seu Twitter, por exemplo. Por fim, lembre-se de nossas recomendações para não cair em golpes de phishing, tomando cuidado com emails suspeitos e evitando informar dados sigilosos em qualquer página que você vê.

Esta matéria faz parte da coluna Detetive TudoCelular, que visa desvendar notícias falsas que se espalham na internet e investigar fraudes que assolam os brasileiros na web. Você confere novos conteúdos toda terça e quinta-feira, aqui no TudoCelular. Continue acompanhando!