Parece que não passa uma semana sem falarmos de uma nova fuga de dados, mas a que foi descoberta agora pela equipa da Cybernews é de uma escala que mete respeito e medo. Estamos a falar de uma base de dados monstruosa de 16TB que deixou expostos 4.3 mil milhões de registos. E se tens um perfil no LinkedIn ou costumas partilhar os teus dados profissionais online, há uma grande probabilidade de algumas informações tuas estarem neste lote de registos.
O que aconteceu com estes registos do LinkedIn?
Os investigadores de segurança da Cybernews encontraram uma base de dados completamente desprotegida (sem qualquer palavra-passe ou autenticação) na internet. Basicamente, qualquer pessoa que soubesse onde procurar podia aceder a este “tesouro” de informações.
O erro parece ter sido humano, uma configuração mal feita, mas as consequências podem ser graves. A base de dados continha informações de “geração de leads” (aquelas empresas que recolhem dados para vender contactos a comerciais e recrutadores).
O que foi caiu na Internet?
Embora a fuga inclua dados de várias origens, o foco principal parece ser informação profissional e corporativa. Entre os 4.3 mil milhões de registos, encontraram-se:
- URLs de perfis do LinkedIn;
- Nomes completos;
- Endereços de email;
- Números de telefone;
- Localização;
- Links para outras redes sociais.
Os dados parecem ter sido recolhidos nos últimos dois anos e abrangem utilizadores de todo o mundo.
O perigo do “Enriquecimento de Perfil”
Podes pensar: “Ok, o meu perfil do LinkedIn é público, qual é o problema?”. O problema, segundo os especialistas, é o que os hackers podem fazer com estes dados em massa.
Esta fuga é ouro para ataques de Engenharia Social. Com o teu nome, email, telefone e histórico profissional na mão, é muito mais fácil criar um esquema de phishing credível para te enganar.
Além disso, estes dados servem para “enriquecimento de perfil”. Os criminosos pegam nestas informações e cruzam-nas com outras fugas anteriores (que tenham passwords, por exemplo). De repente, em vez de terem apenas um email, têm um perfil completo da tua vida digital, o que facilita roubos de identidade e ataques às tuas contas.
Quem é o culpado?
Ainda não se sabe ao certo. A Cybernews optou por não revelar o nome da empresa, mas diz que os dados pertencem provavelmente a uma companhia de “lead-generation” que ajuda 700 milhões de profissionais a conectarem-se.
A boa notícia? Assim que os investigadores avisaram a empresa, a base de dados fechou-se e protegeu-se logo no dia seguinte. A má notícia? Não sabemos quanto tempo ela esteve aberta antes disso, nem quem mais pode ter feito o download destes 16TB.
O que deves fazer?
Como sempre, a regra de ouro mantém-se: desconfia de emails ou mensagens estranhas, mesmo que pareçam vir de recrutadores ou contactos profissionais, e ativa a autenticação de dois fatores (2FA) em todas as tuas contas, especialmente no LinkedIn e no email.
