Hackers: 'Roubei os dados de 700 milhões de usuários do LinkedIn por diversão'
Repórter de segurança cibernética da BBC investiga negócio obscuro de raspagem, roubo e venda de informações de perfis nas redes sociais, e conversa com um hacker que coletou milhões de dados.
Quantos detalhes você disponibiliza em seu perfil nas redes sociais? Nome, localização, idade, emprego, estado civil, foto do rosto? A quantidade de informações que as pessoas se sentem confortáveis em compartilhar varia.
Mas a maioria de nós aceita que tudo o que colocamos em nossa página de perfil público é de domínio público.
Então, como você se sentiria se todas as suas informações fossem catalogadas por um hacker e reunidas em uma planilha gigantesca com milhões de dados para serem vendidos online para o cibercriminoso que pagar mais?
Foi o que um hacker que se autodenomina 'Tom Liner' fez no mês passado "para se divertir" quando compilou um banco de dados de 700 milhões de usuários do LinkedIn do mundo todo que está vendendo por cerca de US$ 5 mil (cerca de R$ 25 mil).
O incidente e outros casos semelhantes de varredura nas redes sociais geraram um debate acirrado sobre se as informações básicas que compartilhamos publicamente em nossos perfis devem ser mais bem protegidas.
Às 8h57, no horário do Reino Unido, a postagem apareceu em um notório fórum de hackers.
Foi uma hora estranhamente civilizada para hackers, mas é claro que não temos ideia de qual era o fuso horário de onde 'Tom Liner' vive.
"Olá, tenho 700 milhões de registros de 2021 do LinkedIn", escreveu ele.
Incluído na postagem estava um link para uma amostra de 1 milhão de registros e um convite para que outros hackers o contatassem em privado e fizessem ofertas pelo banco de dados.
Clientes felizes
Compreensivelmente, a venda causou uma grande sensação no mundo dos hackers. Tom me disse que está vendendo sua aquisição para "vários" clientes felizes por cerca de US$ 5 mil.
Ele não diz quem são seus clientes ou por que eles querem essas informações, mas acrescenta que os dados provavelmente estão sendo usados para outras aventuras de hackers.
A notícia também foi motivo de intenso debate no universo da ciberssegurança e da privacidade com discussões sobre se devemos ou não nos preocupar com essa tendência crescente de mega varreduras.
Esses bancos de dados não estão sendo criados por meio de invasões a servidores ou redes sociais.
Em grande parte, eles são decorrentes da chamada "raspagem" de dados públicos nas plataformas (do inglês "data scraping").
Trata-se de uma técnica na qual os hackers usam programas de computador que automatizam a varredura para obter informações, nesse caso, dados disponíveis gratuitamente sobre os usuários.
Em outras palavras, eles estão simplesmente reunindo, de maneira muito rápida, todos os dados públicos de usuários em redes sociais, para depois vender essas informações em bloco a terceiros.
Em teoria, a maioria dos dados que está sendo compilada pode ser encontrada acessando perfis nas redes sociais individualmente. Mas coletar de forma manual tantos dados quanto os hackers são capazes de fazer levaria milhares de anos.
Até agora, neste ano, houve três outros grandes incidentes de "raspagem" de dados:
- Em abril, um hacker vendeu outro banco de dados de cerca de 500 milhões de registros retirados do LinkedIn.
- Na mesma semana, outro hacker postou um banco de dados de informações extraídas de 1,3 milhão de perfis do Clubhouse em um fórum gratuitamente.
- Também em abril, 533 milhões de detalhes de usuários do Facebook foram compilados a partir de uma combinação de dados antigos e novos antes de eles serem disponibilizados em um fórum de hackers com um pedido de doações.
E quem era o hacker responsável por esse banco de dados do Facebook? 'Tom Liner'.
Falei com Tom durante três semanas por meio de mensagens no aplicativo Telegram. Algumas mensagens e chamadas perdidas foram feitas no meio da noite e outras em horário comercial, portanto não tinha a menor ideia de sua localização.
As únicas pistas sobre sua vida normal foram quando ele disse que não podia falar ao telefone porque sua esposa estava dormindo. Além disso, ele disse que tinha um trabalho diurno e que hackear era seu "hobby".
'Trabalho muito complexo'
Tom me disse que criou o banco de dados de 700 milhões do LinkedIn usando "quase exatamente a mesma técnica" que usou para criar a lista do Facebook.
"Levei vários meses para fazer. Foi muito complexo. Tive que hackear a API do LinkedIn. Se você fizer muitas solicitações de dados do usuário de uma vez, o sistema irá bani-lo permanentemente", explica ele.
API significa 'interface de programação de aplicativo' e a maioria das redes sociais vende parcerias de API, permitindo que outras empresas acessem dados de plataforma, por exemplo, para marketing ou construção de aplicativos.
O Privacy Shark, que primeiro descobriu a venda do banco de dados, examinou o compêndio e descobriu que ela incluía nomes completos, endereços de e-mail, sexo, números de telefone e informações profissionais.
'Não é uma violação'
O LinkedIn diz que suas investigações apontam que Tom Liner não usou sua API. No entanto, a rede social confirmou que o conjunto de dados "inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes".
"Isso não foi uma violação de dados do LinkedIn e nenhum dado privado de membros do LinkedIn foi exposto. A coleta de dados do LinkedIn é uma violação de nossos Termos de Serviço e estamos trabalhando constantemente para garantir que a privacidade de nossos membros seja protegida."
Em resposta à raspagem de dados de abril, o Facebook considerou o incidente uma varredura antiga.
No entanto, o fato de os hackers estarem ganhando dinheiro com esses bancos de dados vem gerando preocupação entre alguns especialistas cibernéticos.
'Detalhe roubado'
CEO e fundador da SOS Intelligence, Amir Hadzipasic vasculha fóruns de hackers na dark web dia e noite. Assim que as notícias sobre os 700 milhões de bancos de dados do LinkedIn se espalharam, ele e sua equipe começaram a analisar os dados.
"Vazamentos em grande escala como esse são preocupantes, haja vista os detalhes intrincados em alguns casos dessas informações, como localizações geográficas ou endereços de celular e e-mail privados", assinala.
"Para a maioria das pessoas, será uma surpresa que haja tantas informações armazenadas por esses serviços de API", acrescenta.
Tom Liner confessa saber que seu banco de dados provavelmente será usado para ataques maliciosos.
Ele diz que isso o "incomoda", mas não explica por que ainda continua realizando operações de raspagem.
Amir diz que os hackers que estão comprando os dados do LinkedIn podem usá-los para lançar campanhas de hacking direcionadas a alvos de alto nível, como chefes de empresas, por exemplo.
Ele acrescenta que há valor no grande número de e-mails ativos no banco de dados que podem ser usados para enviar campanhas de phishing (ação fraudulenta para adquirir ilicitamente dados pessoais de outra pessoa) em massa por e-mail.
'Os dados são públicos'
Mas o especialista em segurança cibernética Troy Hunt, que passa a maior parte de sua vida vasculhando o conteúdo de bancos de dados hackeados para seu site haveibeenpwned.com, está menos preocupado com os recentes incidentes de scraping e diz que precisamos aceitá-los como parte de nosso compartilhamento de perfis públicos.
"Definitivamente, não são violações. A maioria desses dados é pública de qualquer maneira. A pergunta a ser feita em cada caso, porém, é quanto dessa informação é acessível publicamente por escolha do usuário e quanto não se espera que seja publicamente acessível."
Troy concorda com Amir que os controles sobre os programas de API das redes sociais precisam ser melhorados e diz que não podemos ignorar esses incidentes.
"Não discordo da postura do Facebook e de outras redes sociais, mas sinto que a resposta de 'isso não é um problema', embora seja precisa do ponto de vista técnico, não dá importância devida ao valor dos dados do usuário. Talvez estejam minimizando seus próprios papéis na criação desses bancos de dados."
As ações de Tom provavelmente o levariam a ser processado pelo roubo de propriedade intelectual ou violação de direitos autorais.
Mas, quando questionado se está preocupado em ser preso, ele alega que ninguém conseguiria encontrá-lo, encerrando nossa conversa me desejando um bom dia.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.