47 mil emails e senhas do governo ficam expostas no ano

Em um início de ano marcado pelo chamado megavazamento de dados e por ataques pontuais a empresas públicas e privadas, mais de 47 mil senhas e emails ligados a administrações públicas do Brasil -a maior parte, do governo federal- vazaram ou foram expostos na internet no primeiro trimestre, mostra relatório exclusivo da Axur, empresa de cibersegurança.

A alta ante os três meses anteriores é de 580%. A empresa também detectou 122 mil credenciais (email e senha) de domínios corporativos.
As credenciais não necessariamente dão acesso aos sistemas internos, pois podem ter sido vazadas a partir de cadastros feitos em outros sites utilizando esses emails. Também podem ser antigas, mas vêm sendo agregadas a compilados maiores de dados vendidos na internet.

Considerando todos os pares de email e senha detectados pela empresa, o 123456 disparou como a senha mais utilizada, representando 43% das dez mais vazadas. Seu uso é quase três vezes superior ao da segunda preferida pela população, a 123456789.

Do total, 80% contêm só números ou letras maiúsculas.

Esses registros vêm de vazamentos governamentais recentes ou antigos, como da SPtrans e dados do extinto Ministério do Trabalho -hoje com atribuições integradas a outros ministérios-, e empresariais, como no caso da Nitro PDF, uma aplicação online quer permite a edição de documentos em PDF e que teve 14 GB de informações divulgadas no início do ano, segundo o relatório.

Em nota, a Secretaria de Governo Digital do Ministério da Economia diz que os sistemas do governo não foram alvo de ataques bem-sucedidos e que nenhuma informação de Estado foi comprometida a partir de fatos apurados até agora.

“Levantamento anterior, de março, já havia concluído que todas as contas identificadas se referiam a cadastros dos usuários em apps ou portais privados, onde o usuário usou o seu email institucional. Portanto, reforçamos não ter havido comprometimento de nenhum sistema ou informação governamental.”

Segundo a Axur, houve um megavazamento de credenciais em fevereiro, na base de dados que hackers e especialistas estão chamando de Compilado 2021, com dados e informações coletadas em vazamentos desde 2013.

Esse agregado reúne 2,2 bilhões de credenciais, não apenas referentes ao Brasil.

Para especialistas, a rápida transformação digital das empresas na pandemia criou novas brechas para o cibercrime. O ransomware, ataque em que hackers sequestram dados de uma companhia e pedem dinheiro para liberá-los, também cresceu no período.

Até a LGPD (Lei Geral de Proteção de Dados), cujas multas podem ser aplicadas a partir do meio do ano, poderá ser usada como elemento de chantagem pelos criminosos.

“É provável que façam a extorsão [dos dados] depois que as multas estiverem vigentes. Pode ser um grande incentivo para a atividade criminosa, porque uma grande empresa prefere pagar um resgate de, por exemplo, R$ 5 milhões a eventualmente R$ 50 milhões pelo vazamento”, diz Fábio Ramos, presidente da Axur.

A empresa estima que, a partir de grandes vazamentos globais do início do ano, cerca de 3,7 bilhões de dados pessoais tenham sido expostos indevidamente nos três primeiros meses.

No Brasil, o maior incidente foi o megavazamento que expôs 223 milhões de CPFs, além do arquivo que contém o CNPJ de 40 milhões de empresas, 104 milhões de dados de veículos e outros 39 tipos de documento. A investigação do caso ainda não foi concluída.

“O vazamento está sendo pego a reboque do ransomware, que está em franco crescimento”, diz Alexandre Sieira, presidente da Tenchi.