O ex-hacker da NSA Patrick Wardle, co-fundador da Digita Security, descobriu em junho um ficheiro de texto que detinha mais de 15.500 nomes de utilizadores, passwords e nomes de ficheiros.
😢 Found file on VirusTotal w/ 15K+ Mega accounts (user names/passwords & users’ file listings)
😥🤬 File listings included files names describing child abuse content
👮🏽♂️🚔🌍 International law enforcement actively engaged
🙏🏽 @zackwhittaker for writeup & collaboration! https://t.co/VIfsP6isj6
— patrick wardle (@patrickwardle) July 18, 2018
A presença dos ficheiros no leak sugere que os threat actors que os recolheram também acederam a cada conta individualmente, o que lhes conferiu, à partida, a possibilidade de listar todo o seu conteúdo.
Wardle descobriu o ficheiro depois de ser carregado para o serviço VirusTotal alguns meses antes por um utilizador do Vietname.
Wardle passou os dados para o ZDNet que prontamente verificou a enorme quantidade de dados, e que pertenciam ao serviço Mega.
O ZDNet notificou os utilizadores que facilmente confirmaram a autenticidade do conteúdo do ficheiro.
Curiosamente, os dados parecem ter data de 2013, quando Kim Dotcom lançou o serviço.
ZDNet perguntou ao especialista Troy Hunt, que é responsável pelo site de notificação de violação de dados Have I Been Pwned, para analisar os ficheiros.
Segundo Hunt, 98% dos endereços do ficheiro já haviam sido incluídos em uma violação de dados anterior.
“Some 87 percent of the accounts in the Mega file were found in a massive collection of 2,844 data breaches that he uploaded to the service in February, said Hunt.” read the post published by ZDNet.
“Of those we contacted, five said that they had used the same password on different sites.”
Hunt, e o chairman do Mega, Stephen Hall, confirmam que o ficheiro resulta de uma “campanha fraudulenta” de credential stuffing.
Especialistas notaram que o serviço Mega não implementa a autenticação de dois fatores (MFA) – facilitando o acesso dos invasores a uma conta, uma vez que eles obtiveram as combinações “username/password” de outras data breaches conhecidas.