Dez milhões de senhas de brasileiros são expostas em megavazamento global

A partir de uma análise da empresa de cibersegurança Syhunt, foi detectada a exposição de mais 10 milhões de senhas de e-mails de brasileiros  no começo de fevereiro. Nesta época, houve um vazamento global de 3,2 bilhões de dados. 

Entre as credenciais brasileiras, segundo informações do jornal O Estado de S. Paulo,  estão mais de 70 mil senhas da administração pública como de e-mails da Câmara dos Deputados, do Supremo Tribunal Federal (STF) e da Petrobras.

O vazamento traz 3,28 bilhões de senhas para cerca de 2,18 bilhões de endereços únicos de e-mail.

O arquivo de 100 GB foi publicado no mesmo fórum onde, em janeiro, hackers colocaram à venda bases de dados que comprometeram 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos.

Ao contrário do megavazamento de janeiro, no qual as informações de brasileiros estavam à venda, o vazamento de senhas foi disponibilizado integralmente de forma gratuita – qualquer pessoa pode baixar.

Entre as informações de brasileiros, existem pelo menos 10 milhões de senhas. Esse é o número de credenciais referente apenas a e-mails do domínio “.br” – cerca de 26 milhões de domínios em todo o mundo foram afetados. Isso significa que o número de brasileiros atingidos pode ser maior.

A análise não incluiu serviços de e-mail muito populares por aqui, como Gmail e Hotmail, pois eles estão no domínio “.com”.

Diversos e-mails tiveram mais de uma senha vazada, o que permite identificar o padrão de criação de senhas. Mais ainda: com esse padrão em mãos, é possível até mesmo tentar prever futuras novas senhas criadas para os endereços.

No vazamento, muitos endereços tiveram entre três e 30 senhas associadas a eles.
Administração pública

O vazamento afetou milhares de senhas da administração pública. No total, 68.535 senhas de e-mails no domínio “gov.br”, usado pela administração pública, foram afetadas. Outras 4.589 senhas do domínio “jus.br” foram disponibilizadas, o que inclui senhas do STF. A reportagem encontrou pelo menos um e-mail diretamente ligado ao gabinete do ministro Dias Toffoli. Foram encontradas 98 senhas do domínio “stf.jus.br”.

Além disso, 218 senhas do domínio “camara.leg.br” estão listadas. Nessa base é possível encontrar o e-mail que o presidente Jair Bolsonaro (sem partido) usava quando era deputado federal – é uma indicação de que a compilação reúne dados de vários anos diferentes. Além disso, e-mails de mais deputados aparecem na base “camara.gov.br”.

Nela, há 985 senhas, incluindo nomes que não estão mais em Brasília, como o do ex-deputado Jean Wyllys.

Já o domínio “senado.gov.br” tem 547 senhas vazadas. Endereços ligados à presidência da república também aparecem. O domínio “presidencia.gov.br” teve 28 senhas vazadas.

Entre os duzentos domínios “gov.br” mais afetados aparecem senhas de e-mails da Receita Federal, da Advocacia Geral da União, da Anvisa, da Caixa, do Butantan, da Funai, do IBGE, da Infraero, do Inpi, do INSS e da Polícia Militar em diversos Estados, incluindo São Paulo e Paraná.

A reportagem também encontrou no vazamento 8.863 senhas ligadas à Petrobrás – nenhum endereço, porém, está ligado a presidentes que passaram pelo comando da empresa. Foi possível encontrar também um endereço possivelmente ligado ao ministro da Economia, Paulo Guedes, da época em que estava na BR Investimentos.