O ex-hacker da NSA Patrick Wardle, co-fundador da Digita Security, descobriu em junho um ficheiro de texto que detinha mais de 15.500 nomes de utilizadores, passwords e nomes de ficheiros.
😢 Found file on VirusTotal w/ 15K+ Mega accounts (user names/passwords & users’ file listings)
😥🤬 File listings included files names describing child abuse content
👮🏽♂️🚔🌍 International law enforcement actively engaged
🙏🏽 @zackwhittaker for writeup & collaboration! https://t.co/VIfsP6isj6
— patrick wardle (@patrickwardle) July 18, 2018
A presença dos ficheiros no leak sugere que os threat actors que os recolheram também acederam a cada conta individualmente, o que lhes conferiu, à partida, a possibilidade de listar todo o seu conteúdo.
Wardle descobriu o ficheiro depois de ser carregado para o serviço VirusTotal alguns meses antes por um utilizador do Vietname.
Wardle passou os dados para o ZDNet que prontamente verificou a enorme quantidade de dados, e que pertenciam ao serviço Mega.
O ZDNet notificou os utilizadores que facilmente confirmaram a autenticidade do conteúdo do ficheiro.
Curiosamente, os dados parecem ter data de 2013, quando Kim Dotcom lançou o serviço.
ZDNet perguntou ao especialista Troy Hunt, que é responsável pelo site de notificação de violação de dados Have I Been Pwned, para analisar os ficheiros.
Segundo Hunt, 98% dos endereços do ficheiro já haviam sido incluídos em uma violação de dados anterior.
“Some 87 percent of the accounts in the Mega file were found in a massive collection of 2,844 data breaches that he uploaded to the service in February, said Hunt.” read the post published by ZDNet.
“Of those we contacted, five said that they had used the same password on different sites.”
Hunt, e o chairman do Mega, Stephen Hall, confirmam que o ficheiro resulta de uma “campanha fraudulenta” de credential stuffing.
Especialistas notaram que o serviço Mega não implementa a autenticação de dois fatores (MFA) – facilitando o acesso dos invasores a uma conta, uma vez que eles obtiveram as combinações “username/password” de outras data breaches conhecidas.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.