Notícias

Lista gigante com dados de polícias, políticos, militares e bancos

25 Comentários

Poderemos estar diante da maior fuga de informação pessoal de que há memória em Portugal. Segundo informações que estão a ser veiculadas, foram expostos a público milhares de endereços de e-mails e as respetivas passwords de funcionários públicos, quadros de bancos, grandes empresas e clubes de futebol.

Estes dados estão a circular na Internet em duas gigantescas listas.

Imagem de milhares de dados privados expostos a público


De acordo com uma investigação levada a cabo pela Sábado, andam a circular na Dark Web, uma parte da web que só pode ser acedida através de programas específicos, duas listas enormes com milhares de e-mails e passwords de pessoas com cargos importantes do setor público e do setor privado.

Segundo o Pplware conseguiu apurar, estes dados foram obtidos através de ataques a redes sociais e a outros sites em que é obrigatório um registo com e-mail e password. Entre as vítimas encontram-se também vários membros do governo dos ex-Primeiro Ministros Pedro Passos Coelho e José Sócrates e funcionários do Centro de Gestão da Rede Informática do Governo (CEGER).

Apesar de tudo, de acordo com a CEGER, os dados roubados não permitirão aceder à rede informática do Estado Português pois, mesmo que o e-mail do trabalho tenha sido utilizado para registo nas redes sociais, as passwords roubadas não cumprem os requisitos da plataforma.

Na área do futebol, pessoas ligadas aos 3 grandes clubes nacionais também não escaparam a este roubo de dados. O diretor jurídico da SAD do Benfica, Paulo Gonçalves é um dos afetados. Para além disso também é possível encontrar nas listas pessoas ligadas ao FC Porto e ao Sporting.

Sem dúvida, esta é, provavelmente, a maior fuga de informação pessoal de que há registo em Portugal. A Polícia Judiciária já decidiu abrir um inquérito para perceber tudo aquilo que está em jogo.

O Pplware já contactou a PJ e aguarda detalhes sobre este caso que estamos a acompanhar.

PUB
Autor: Vítor M.
Partilhar:
Tags:
dados polícia judiciária

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Microsoft reage à “falsa app” do Chrome na loja do Windows
Artigo anterior

Microsoft reage à “falsa app” do Chrome na loja do Windows
Dica: Como cortar facilmente um vídeo no Windows 10?
Próximo artigo

Dica: Como cortar facilmente um vídeo no Windows 10?
PUB

Comentários

25

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de poiou
    poiou

    “Apesar de tudo, de acordo com a CEGER, os dados roubados não permitirão aceder à rede informática do Estado Português pois, mesmo que o e-mail do trabalho tenha sido utilizado para registo nas redes sociais, as passwords roubadas não cumprem os requisitos da plataforma.”

    Srs da CEGER, porquê? Não é possível comprometer um email profissional com essas passwords e desse modo, via engenharia social, obter passwords de sistemas críticos? (até porque regra geral, nos servidores de email empresarial, os emails entre elementos da empresa têm menores restrições de segurança)

    Responder
    1. Avatar de XYZ
      XYZ

      Os emails entre elementos normalmente até podem ter menos segurança, mas por exemplo, onde trabalho temos:
      De alterar a password a cada 60 dias; é necessário configurar um proxy e outras cenas para podermos usar o email. O email é do outlook mas tem um nome especifico, nao é fulano@outlook, é fulano@nome da empresa, mas para todos os efeitos é outlook e recebe emails de todos os lados e envia para todos os lados,mas sem estar ligado ao servidor e ter a aplicacao outlook configurada, nao é possivel entrar no email (e certamente nao entras ao ir para o outlook.com e escreveres o login, diz que nao existe, sei porque ja tentei).

      Entao: para quê passwords fortes?

      Digo mesmo que a minha password lá é asd123 e quando altero é entre essa e qwe123

      Responder
      1. Avatar de poiou
        poiou

        tenta em portal.office.com
        pode ser na tua empresa mas nas outras não
        quem impede alguém que tenha a lista de entrar num dos email no tempo em que a password ainda for válida?

        Responder
      2. Avatar de João Jerónimo
        João Jerónimo

        Tente em http://www.office365.com/

        Responder
  2. Avatar de diogo
    diogo

    Sinceramente isto não é de admirar, é preocupante o nível tão baixo de segurança no foro do estado, com muitos servidores obsoletos e esquecidos espalhados “por aí”…

    Responder
    1. Avatar de Marco
      Marco

      Não tem a haver com ataques ao estado, a noticia faz parecer que foi um ataque focado ao estado. Isto é um dump com passwords de varios sites, linkedin, dropbox, etc etc etc.

      Responder
      1. Avatar de Vítor M.
        Vítor M.

        Tal como está na notícia (até por casos anteriores) podem bem ser “apenas” dados recolhidos de ataques a serviços portugueses, como no passado foi noticiado.

        Responder
  3. Avatar de Marco
    Marco

    Agora Reddit é Dark Web?

    Este dump é uma junção de vários data leaks que aconteceram nos últimos anos, e alguns novos. Podem ler uma analise ao dump aqui https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14

    Recomendação: Registem os vossos emails em https://haveibeenpwned.com para ser notificados se o vosso email/password podem ter sido expostos.

    Responder
    1. Avatar de Daniel
      Daniel

      É giro dizer dark web.

      Responder
      1. Avatar de Vítor M.
        Vítor M.

        Daniel, não é por ser giro, é por ser verdade. Foi lá que apareceram certas listas, depois alguém as puxou para outros sites e em breve estarão disponíveis em qualquer lugar.

        Responder
    2. Avatar de Vítor M.
      Vítor M.

      Marco, coloca o link para a lista que tem os nomes dos citados no artigo, essas tais listas portuguesas.

      em relação à recomendação, não registem nada, agarre nos vossos serviços e mudem as palavras passe, ativem os dois passos de autenticação e não coloquem o vosso email em lugar nenhum. Esses sítios, desde que ficaram populares, deixaram de inspirar confiança.

      Responder
      1. Avatar de Marco
        Marco

        Não há listas portuguesas, há dumps globais, que contêm dados de pessoas portuguesas, como *.gov.pt, *.gov.uk, etc etc. As listas que o artigo fala são a exploit.in e antipublic, que com 5 minutos no google são fáceis de obter.

        Sobre a Recomendação, volto a dizer, registem no https://haveibeenpwned.com, é o único site de confiança que existe, feito pelo Troy Hunt. O registo é serem notificados, n há passwords envolvidas no processo.

        Responder
      2. Avatar de Marco
        Marco

        As listas mencionadas são a exploit.in e antipublic, não existem listas portuguesas. Essas listas contém centenas de milhões de emails e passwords, de vários serviços (Linkedin, Dropbox, Yahoo, etc). Com essas listas é fácil obter os emails de um dominio, por exemplo emails que sejam *.gov.pt. (Tal como de outros paises)

        O haveibeenpwned.com é o único lugar de confiança para isto, o registo é simplesmente dizer, notifica-me se o meu email aparecer, não ha passwords envolvidas.

        Responder
        1. Avatar de Rui Costa
          Rui Costa

          E ofereces o teu email para mais uma lista. Tu garantires que o serviço é de confiança….LOL

          Responder
          1. Avatar de SamBaS
            SamBaS

            Olha que pegar emails em massa não é assim tão difícil!:)
            xxxx/search_email_collector…

          2. Avatar de Marco
            Marco

            Eu estou perfeitamente descansado em o haveibeenpwned.com do Troy Hunt ter o meu email. Não ha passwords envolvidas 🙂
            Recomendo que faças um search sobre quem é o Troy Hunt e o impacto dele na comunidade de segurança 😉

  4. Avatar de Mota
    Mota

    Continuem a retirar orçamento aos departamentos IT.
    Que há falha humana, à partida, há sempre mas cada vez mais esta área é descredibilizada pelos “cães grandes” agora está à vista.

    Responder
  5. Avatar de Filipe Serra
    Filipe Serra

    Uma vez registei-me num portal do governo, já não me lembro bem qual era. Tive um problema com a minha conta e enviei um email para o apoio. A senhora que me respondeu, de forma a confirmar a autenticidade do meu contacto responde-me: “Boa tarde. Pode confirmar que o seu utilizador é (taltaltal) e a sua password é (blahblahblah)?” Ou seja o utilizador ok, deve ser público, mas ela perguntar-me se a minha password é aquela (que era!), nem cifrada estava, não sei como é que ela tinha acesso àquilo.

    Foi estranho.

    Responder
    1. Avatar de Joao ptt
      Joao ptt

      Por acaso já me dei ao trabalho de testar as recuperações de senha e por exemplo na Google tenho algumas 6 maneiras de recuperar a senha… eles realmente não querem que ninguém fique de fora… qualquer informação quase que serve para recuperar o acesso à conta… introduziram o modo “Advanced Protection Program” mas continuam a permitir recuperação de acesso à conta… logo continua a exitir maneira de ultrapassar a protecção… só demorar mais uns dias se não tiverem a coisa bem feita.

      Os segundos factores de autenticação muitas vezes tornam-se o primeiro factor de autenticação com senhas a serem enviadas para o e-mail e/ ou para os telefones que toda a gente sabe que são muito seguros ahah Ou o código que deveria ser o segundo factor do gerador de códigos a passar a ser o que é necessário para ser reconhecido como o dono da conta. Enfim, raramente os web sites/ serviços onlines têm políticas de recuperação de acesso à conta realmente seguras mesmo quando têm segundos factores de autenticação.

      Outros é tudo muito seguro online mas depois liga-se para a assistência técnica e com dados que os atacantes conseguem recolher um pouco por todo o lado de bases dados furtadas anteriormente e informações públicas conseguem ter acesso à conta na mesma.

      Por tanto poucas ou nenhumas empresas são 100% à prova de terceiros os enganarem para ter acesso à conta do utilizador.

      Mesmo que exista alguma que seja à prova de recuperações de acesso fraudolentas, depois ainda existe o dispositivo do utilizador que têm de ser seguro ou utilizar segurança avançada tipo FIDO U2F para que nem o malware possa autênticar-se à distância com facilidade… e o serviço tem de estar bem concebido para não permitir modificar localmente definições que permitam depois fazer coisas à distância. E mesmo isto não é suficiente para certos web sites já que alguns modificam os dados apresentados no browser localmente para a pessoa autorizar acções que não deseja enganando-a… resulta em especial quando mesmo quando o serviço envia uma informação de autenticação extra via SMS e o utilizador tem tal dispositivo também comprometido ou os atacantes têm acesso à rede pública de telefónica via qualquer operador mundial que tenha acordo roaming com esse operador e saibam qual o número para o qual a mensagem irá ser enviada (via vulnerabilidades SS7)… coisa que já acontece com as contas bancárias.

      Responder
  6. Avatar de Anon
    Anon

    Aqui esta os dados: https://0bin.net/paste/PInavS-jCLexNr1J#8+nROdd05xJyrjDTYrs9LqIYbriawok1wGxWNSu5G38

    Responder
  7. Avatar de int3
    int3

    Isto já foi analisado e revisto e mais que alertado. Não vejo a novidade aqui…
    Fizeram agora uma compilação de dominios portugueses foi?
    Desde o “inicio” deste mês que já se falou nisso.
    https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14
    Foi descoberta pela 4IQ…
    E não foram aqueles dominios hackeados mas sim outros websites que foram atacados em cujo os utilizadores registaram-se lá com aqueles dominos, seja do governo seja do BCP ou PSP etc….

    Responder
  8. Avatar de Redin
    Redin

    Se fosse só de endereços de email, o P2T conseguiria lidar com isso, mas uma violação de acessos por passwords já ser torna bem mais complicado visto estar do lado mais sensível da cadeia de segurança. O utilizador.

    Responder
  9. Avatar de Jonathan
    Jonathan

    Isso que da usar Mobdro!

    Responder
  10. Avatar de Miguel Matos
    Miguel Matos

    Como é que se vê quais os sites onde o nosso email foi hackeado? No pwned diz que o meu email foi hackeado em dois sites, mas não diz quais…
    Obrigado.

    Responder
    1. Avatar de Marco
      Marco

      Se o haveibeenpwned não disser o site, é porque não sabe qual o site que deu origem aquele leak. Se souber és logo informado.

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.