Especialistas em segurança descobriram um banco de dados de 150 GB exposto online na última semana. As informações vazaram da Verifications.io, empresa que faz validação de e-mails para companhias de e-mail marketing. São mais de 800 milhões de registros expostos, variando desde nomes, e-mails, endereços e telefones, até credenciais de redes sociais e informações sobre crédito de consumidores e finanças de empresas.
Segundo os pesquisadores Bob Diachenko e Vinny Troia, até a última semana os dados podiam ser acessados por qualquer um. Desde então, o site do Verifications.io foi retirado do ar. As informações foram assimiladas ao banco do site Have I Been Pwned, em que indivíduos podem verificar se suas credenciais foram expostas online. Essa é a segunda maior coleção adicionada ao site: 35% dos 763 milhões de e-mails vazados eram inéditos no Have I Been Pwned.
O pacote de dados surpreendeu os responsáveis pela descoberta não apenas por seu tamanho massivo, mas também pelo nível incomum de detalhes de alguns registros. Além das informações pessoais padrão, muitos contêm especificação de gênero, data de nascimento, valor de hipoteca, taxa de juros, pontuações de crédito das pessoas, contas do Facebook, LinkedIn e Instagram. Já outros itens da coleção parecem ter relação com vendas e negócios: nomes de empresas, receita anual, número de fax, sites corporativos e identificadores de setores industriais.
Validadoras como a Verifications.io são pouco conhecidas, mas têm papel fundamental no mercado de e-mail marketing. Elas não fazem campanhas nem envio em massa de mensagens. Sua função é ajudar as plataformas que fazem isso a verificar a validade de suas listas de endereços de e-mail, descobrindo quais são válidos. Vinny Troia desconfia que a base de dados seja tão grande e variada justamente por isso, já que seriam informações enviadas por clientes.
A firma, porém, nega e diz que os registros eram públicos e o banco já foi protegido. De fato, há indícios de que boa parte já estava disponível publicamente, mas não está claro o quanto dos dados era “inédito”. Eles foram inseridos no Have I Been Pwned, serviço que permite aos usuários conferir se já tiveram informações comprometidas. Dos 763 milhões de e-mails únicos, 35% são novos no acervo. Vale notar ainda que essa é a segunda maior coleção já adicionada ao site.
Não se sabe se alguém acessou os dados, mas é certo que eles estavam vulneráveis. Também não havia senhas ou números de documentos no vazamento, entretanto, os especialistas da área de segurança digital alertam para os riscos elevados pela exposição de informações estruturadas como essas. Elas podem facilitar a aplicação de golpes de engenharia social por hackers mal intencionados.
Há diversos sites que mostram se sua senha ou outros dados já vazaram na Internet. O Google lançou recentemente uma extensão para Chrome que avisa, caso a exposição aconteça.
