{"id":191107,"date":"2025-12-16T20:12:22","date_gmt":"2025-12-16T20:12:22","guid":{"rendered":"https:\/\/www.europesays.com\/pt\/191107\/"},"modified":"2025-12-16T20:12:22","modified_gmt":"2025-12-16T20:12:22","slug":"quatro-mil-milhoes-de-registos-profissionais-sem-protecao-expostas-cibercrime","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/pt\/191107\/","title":{"rendered":"Quatro mil milh\u00f5es de registos profissionais sem prote\u00e7\u00e3o expostas cibercrime"},"content":{"rendered":"<p>Bob Diachenko, investigador em ciberseguran\u00e7a e colaborador da revista Cybernews, al\u00e9m de respons\u00e1vel pelo SecurityDiscovery.com, <a href=\"https:\/\/cybernews.com\/security\/database-exposes-billions-records-linkedin-data\/\" rel=\"nofollow noopener\" target=\"_blank\">localizou recentemente<\/a> <strong>uma inst\u00e2ncia de uma base de dados MongoDB acess\u00edvel sem autentica\u00e7\u00e3o e com um volume de dados incomum<\/strong>, mesmo no \u00e2mbito da gera\u00e7\u00e3o de leads B2B.<\/p>\n<p>O conjunto de dados armazenados nesta base de dados em particular atingia 16,14 terabytes e estava organizado em nove cole\u00e7\u00f5es, algumas delas com mais de mil milh\u00f5es de documentos, com esquemas uniformes que refletem processos altamente automatizados de scraping e enriquecimento de <strong>informa\u00e7\u00e3o profissional<\/strong>. Embora cada uma das cole\u00e7\u00f5es agrupasse registos \u00fanicos, os investigadores apontam que podem existir duplicidades entre cole\u00e7\u00f5es dentro do mesmo conjunto.<\/p>\n<p>Entre os conte\u00fados que podiam ser encontrados, temos <strong>endere\u00e7os de e-mail, n\u00fameros de telefone, cargos, rela\u00e7\u00f5es profissionais, URLs de perfis no LinkedIn, hist\u00f3rico profissional e formativo, localiza\u00e7\u00e3o, idiomas, compet\u00eancias declaradas, contas noutras redes sociais, fotografias de perfil e pontua\u00e7\u00f5es de confian\u00e7a associadas aos endere\u00e7os de e-mail, razoavelmente atualizadas e precisas<\/strong>.<\/p>\n<p>Bases de dados de contactos deste tamanho s\u00e3o ferramentas comuns para departamentos de marketing, vendas ou recrutamento, pois permitem economizar tempo na identifica\u00e7\u00e3o de poss\u00edveis clientes ou candidatos.<\/p>\n<p>Pois todas essas informa\u00e7\u00f5es, completas e atualizadas, <strong>estavam sem prote\u00e7\u00e3o, nem mesmo por uma senha, na Internet<\/strong>, \u00e0 espera de quem pudesse encontr\u00e1-las. A descoberta pelos investigadores da Cybernews ocorreu no dia 23 de novembro e, ap\u00f3s serem notificados, os propriet\u00e1rios da inst\u00e2ncia encerraram o acesso no dia 25 de novembro, embora n\u00e3o se saiba por quanto tempo a base de dados permaneceu exposta antes de ser detetada e, portanto, se algu\u00e9m com m\u00e1s inten\u00e7\u00f5es conseguiu tirar proveito dela.<\/p>\n<p>O volume e o grau de detalhe das informa\u00e7\u00f5es expostas tornam esse conjunto de dados um ativo potencialmente \u00fatil para diferentes tipos de atores. Os investigadores da Cybernews destacam que <strong>um reposit\u00f3rio deste tamanho facilita campanhas de phishing altamente direcionadas, fraudes de falsifica\u00e7\u00e3o de identidade de executivos (CEO fraud) e opera\u00e7\u00f5es de reconhecimento corporativo baseadas em engenharia social<\/strong>, ao oferecer listas segmentadas por cargo, empresa, trajet\u00f3ria profissional e outros atributos sens\u00edveis.<\/p>\n<p>Os criminosos podem selecionar perfis de alto valor, como executivos ou respons\u00e1veis por \u00e1reas cr\u00edticas, e criar mensagens que aproveitem as informa\u00e7\u00f5es dispon\u00edveis para aumentar as probabilidades de sucesso.<\/p>\n<p>O pr\u00f3prio conjunto inclui dados de funcion\u00e1rios de grandes corpora\u00e7\u00f5es, o que permite aos criminosos concentrar a sua aten\u00e7\u00e3o em empresas espec\u00edficas, especialmente aquelas cujo pessoal \u00e9 mais atraente como alvo em mercados il\u00edcitos de dados.<\/p>\n<p>A mesma informa\u00e7\u00e3o que as equipas de seguran\u00e7a podem usar para testar defesas contra ataques de engenharia social pode ser usada de forma inversa por agentes maliciosos para identificar fraquezas organizacionais e facilitar o acesso inicial a sistemas corporativos.<\/p>\n<p>O tamanho da base de dados torna-a uma candidata ideal para ataques automatizados e opera\u00e7\u00f5es assistidas por IA, uma vez que, combinada com outras fugas, uma base de 4,3 mil milh\u00f5es de registos pode alimentar modelos de linguagem capazes de gerar mensagens personalizadas a partir dos dados de perfil e enviar, com um esfor\u00e7o adicional relativamente baixo, dezenas de milh\u00f5es de e-mails maliciosos, bastando comprometer um \u00fanico alvo de alto valor para que a opera\u00e7\u00e3o seja rent\u00e1vel.<\/p>\n<p>Os investigadores tamb\u00e9m apontam que conjuntos de dados deste tipo podem servir de base para o enriquecimento de perfis atrav\u00e9s da incorpora\u00e7\u00e3o de informa\u00e7\u00f5es provenientes de outras fugas, incluindo palavras-passe, identificadores de dispositivos ou links para mais contas em redes sociais, o que simplifica tanto os ataques de engenharia social como os de preenchimento de credenciais.<\/p>\n<p>Neste caso, os investigadores apontam <strong>um erro humano como a causa mais prov\u00e1vel<\/strong>: uma configura\u00e7\u00e3o sem as medidas de autentica\u00e7\u00e3o necess\u00e1rias teria deixado o sistema acess\u00edvel.<\/p>\n<p>Este caso evidencia a fragilidade das infraestruturas que sustentam as bases de dados massivas de gera\u00e7\u00e3o de leads e como, quando a seguran\u00e7a n\u00e3o \u00e9 aplicada de forma rigorosa, a mesma informa\u00e7\u00e3o que impulsiona a atividade comercial pode transformar-se num ativo estrat\u00e9gico para o cibercrime, bem como a import\u00e2ncia de tratar adequadamente, do ponto de vista da seguran\u00e7a, estes dados pelas consequ\u00eancias que a sua descoberta pode ter.<\/p>\n","protected":false},"excerpt":{"rendered":"Bob Diachenko, investigador em ciberseguran\u00e7a e colaborador da revista Cybernews, al\u00e9m de respons\u00e1vel pelo SecurityDiscovery.com, localizou recentemente uma&hellip;\n","protected":false},"author":2,"featured_media":191108,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[84],"tags":[109,107,108,32,33,105,103,104,106,110],"class_list":{"0":"post-191107","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-ciencia-e-tecnologia","8":"tag-ciencia","9":"tag-ciencia-e-tecnologia","10":"tag-cienciaetecnologia","11":"tag-portugal","12":"tag-pt","13":"tag-science","14":"tag-science-and-technology","15":"tag-scienceandtechnology","16":"tag-technology","17":"tag-tecnologia"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@pt\/115731073888977399","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/posts\/191107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/comments?post=191107"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/posts\/191107\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/media\/191108"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/media?parent=191107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/categories?post=191107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/tags?post=191107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}