Quatro mil milhões de registos profissionais sem proteção expostas cibercrime

Bob Diachenko, investigador em cibersegurança e colaborador da revista Cybernews, além de responsável pelo SecurityDiscovery.com, localizou recentemente uma instância de uma base de dados MongoDB acessível sem autenticação e com um volume de dados incomum, mesmo no âmbito da geração de leads B2B.

O conjunto de dados armazenados nesta base de dados em particular atingia 16,14 terabytes e estava organizado em nove coleções, algumas delas com mais de mil milhões de documentos, com esquemas uniformes que refletem processos altamente automatizados de scraping e enriquecimento de informação profissional. Embora cada uma das coleções agrupasse registos únicos, os investigadores apontam que podem existir duplicidades entre coleções dentro do mesmo conjunto.

Entre os conteúdos que podiam ser encontrados, temos endereços de e-mail, números de telefone, cargos, relações profissionais, URLs de perfis no LinkedIn, histórico profissional e formativo, localização, idiomas, competências declaradas, contas noutras redes sociais, fotografias de perfil e pontuações de confiança associadas aos endereços de e-mail, razoavelmente atualizadas e precisas.

Bases de dados de contactos deste tamanho são ferramentas comuns para departamentos de marketing, vendas ou recrutamento, pois permitem economizar tempo na identificação de possíveis clientes ou candidatos.

Pois todas essas informações, completas e atualizadas, estavam sem proteção, nem mesmo por uma senha, na Internet, à espera de quem pudesse encontrá-las. A descoberta pelos investigadores da Cybernews ocorreu no dia 23 de novembro e, após serem notificados, os proprietários da instância encerraram o acesso no dia 25 de novembro, embora não se saiba por quanto tempo a base de dados permaneceu exposta antes de ser detetada e, portanto, se alguém com más intenções conseguiu tirar proveito dela.

O volume e o grau de detalhe das informações expostas tornam esse conjunto de dados um ativo potencialmente útil para diferentes tipos de atores. Os investigadores da Cybernews destacam que um repositório deste tamanho facilita campanhas de phishing altamente direcionadas, fraudes de falsificação de identidade de executivos (CEO fraud) e operações de reconhecimento corporativo baseadas em engenharia social, ao oferecer listas segmentadas por cargo, empresa, trajetória profissional e outros atributos sensíveis.

Os criminosos podem selecionar perfis de alto valor, como executivos ou responsáveis por áreas críticas, e criar mensagens que aproveitem as informações disponíveis para aumentar as probabilidades de sucesso.

O próprio conjunto inclui dados de funcionários de grandes corporações, o que permite aos criminosos concentrar a sua atenção em empresas específicas, especialmente aquelas cujo pessoal é mais atraente como alvo em mercados ilícitos de dados.

A mesma informação que as equipas de segurança podem usar para testar defesas contra ataques de engenharia social pode ser usada de forma inversa por agentes maliciosos para identificar fraquezas organizacionais e facilitar o acesso inicial a sistemas corporativos.

O tamanho da base de dados torna-a uma candidata ideal para ataques automatizados e operações assistidas por IA, uma vez que, combinada com outras fugas, uma base de 4,3 mil milhões de registos pode alimentar modelos de linguagem capazes de gerar mensagens personalizadas a partir dos dados de perfil e enviar, com um esforço adicional relativamente baixo, dezenas de milhões de e-mails maliciosos, bastando comprometer um único alvo de alto valor para que a operação seja rentável.

Os investigadores também apontam que conjuntos de dados deste tipo podem servir de base para o enriquecimento de perfis através da incorporação de informações provenientes de outras fugas, incluindo palavras-passe, identificadores de dispositivos ou links para mais contas em redes sociais, o que simplifica tanto os ataques de engenharia social como os de preenchimento de credenciais.

Neste caso, os investigadores apontam um erro humano como a causa mais provável: uma configuração sem as medidas de autenticação necessárias teria deixado o sistema acessível.

Este caso evidencia a fragilidade das infraestruturas que sustentam as bases de dados massivas de geração de leads e como, quando a segurança não é aplicada de forma rigorosa, a mesma informação que impulsiona a atividade comercial pode transformar-se num ativo estratégico para o cibercrime, bem como a importância de tratar adequadamente, do ponto de vista da segurança, estes dados pelas consequências que a sua descoberta pode ter.