Topo

Megabanco com 3,8 bilhões de dados vazados expõe fragilidade do Clubhouse

Tommaso79/Getty Images
Imagem: Tommaso79/Getty Images

Lucas Santana

Colaboração para Tilt, em Erfurt (Alemanha)

29/09/2021 17h21Atualizada em 30/09/2021 11h46

Está à venda em um fórum cibercriminoso um suposto banco de dados com informações pessoais e telefônicas de aproximadamente 3,8 bilhões de pessoas ao redor do mundo. Se for verdadeiro, o mega arquivo poderia conter informações pessoais de mais da metade da população mundial.

Segundo noticiado pelo CyberNews, um membro do fórum anunciou ter cruzado dados obtidos de vazamentos anteriores do aplicativo Clubhouse e do Facebook.

No anúncio, o cibercriminoso afirma possui perfis de pessoas cadastradas no Clubhouse e de pessoas que nunca entraram na rede de chat por voz. Segundo ele, uma falha de segurança da plataforma vazou em 24 de julho a lista de contatos compartilhada por quem estava na rede —essa é uma exigência do Clubhouse para quem quer usar a plataforma.

A veracidade das informações do mega banco de dados, no entanto, ainda não foi confirmada.

Especialistas em segurança da informação ouvidos por Tilt acreditam que a chance de o criminoso ter tantas informações valiosas em mãos é quase zero. O mais provável é que o banco de dados inclua informações antigas, desatualizadas e duplicadas.

"É muito cedo para dizer se esses dados são legítimos ou não", afirma Christopher Budd, gerente sênior de comunicações de ameaças globais da empresa de segurança Avast. Esses mesmos 3,8 bilhões de telefones atribuídos ao Clubhouse já estavam à venda na dark web há alguns meses e foram descartados por pesquisadores de segurança como novidade.

Ainda assim, chama a atenção a vulnerabilidade do Clubhouse, que tem um complicado histórico de segurança digital.

Em abril deste ano, por exemplo, a plataforma expôs os dados de pelo menos 1,3 milhões de perfis por conta de uma brecha de segurança no seu código. Informações como nome, foto, link do Twitter e do Instagram dos membros foram espalhados pela rede.

Na época, a empresa alegou que não houve vazamento e ainda reforçou que aquelas informações eram consideradas públicas para desenvolvedores que utilizassem o conjunto de rotinas e padrões de programação para acesso à sua plataforma.

Há motivos para se preocupar?

Mesmo com essa suposta mina de ouro nas mãos, o cibercriminoso não havia conseguido vender seu megabanco de dados até os últimos dias. É possível que uma parte das informações contidas ali seja real e chegue até as mãos de golpistas em algum momento.

"Quem usou o Clubhouse em abril de 2021 deve sim se preocupar com o fato de que todas suas informações da época estão sendo negociadas online", diz Budd.

André Carneiro, diretor-geral da Sophos no Brasil, empresa especializada segurança de dados, ressalta que o cruzamento de informações que o criminoso alega ter feito é possível de acontecer desde que exista entre as bases de dados uma informação comum, como email, CPF ou nome de usuário.

Então, sim, há razões para se preocupar.

"O maior risco está no uso indevido destas informações e dados pessoais para a prática de outros crimes —seja uma extorsão telefônica, um crime de transferência de dinheiro, uso de emails de phishing mais eficientes para a captura de uma senha bancária ou de um cartão de crédito, dentre várias outras modalidades possíveis", explica Carneiro.

Como se proteger

Ainda que este banco de vazamentos não seja real ou mesmo inédito, o fato é que já existem centenas de compilados de dados circulando pela internet em fóruns de hackers e golpistas, colocando em risco muita gente.

No site Have I Been Pwned, por exemplo, você pode checar se o seu email ou telefone já podem ter sido roubados em algum caso conhecido de vazamento de dados.

Para especialistas em segurança digital, é importante que as pessoas fiquem alertas para tentativas de golpe, como ligações ou mensagens de texto suspeitas, além de ficar de olho em contas bancárias — se surgirem registros de transações, empréstimos e contratação indevida de serviços, entre imediatamente em contato com a instituição financeira.

Outras dicas:

  • Trocar frequentemente suas senhas e criar um segundo fator de autenticação em emails, serviços de mensagens e redes sociais. Isso dificulta o acesso de criminosos porque eles precisariam descobrir essa segunda senha no processo do golpe;
  • Não clicar em links suspeitos que tenham sido encaminhados em seu telefone ou email;
  • Não abrir email de destinatários desconhecidos;
  • Instalar uma solução de proteção em seu dispositivo;
  • Desconfiar de cobranças ou avisos que chegarem por meios digitais ou físicos.