- Pesquisadores da UpGuard encontraram, em janeiro, um banco de dados público com bilhões de registros, incluindo informações sensíveis como números de Seguro Social (SSN).
- O conjunto continha aproximadamente 3 bilhões de endereços de e-mail e senhas, além de cerca de 2,7 bilhões de registros com SSN.
- O banco de dados estava hospedado pela fornecedora alemã de nuvem Hetzner; a origem exata não pôde ser identificada, e o dado foi removido em 21 de janeiro após notificação.
- Análise de amostra de 2,8 milhões de registros indicou que grande parte dos dados é antigo, remontando aproximadamente a 2015 nos Estados Unidos, com padrões de senhas que incluíam referências a bandas e celebridades.
- Mesmo sem ser comprovadamente explorados, muitos SSNs presentes podem representar risco futuro de roubo de identidade, já que números de SSN costumam não mudar e os dados associativos podem estar intactos.
A vida útil de dados sensíveis voltou a aparecer em um vazamento público de grande escala. Pesquisadores da UpGuard encontraram, em janeiro, um banco de dados acessível online contendo bilhões de registros, incluindo números de Segurança Social (SSN) e senhas. A descoberta levou a uma ação imediata para validar os dados.
Segundo a análise, o conjunto continha aproximadamente 3 bilhões de endereços de e-mail e senhas, além de cerca de 2,7 bilhões de registros com SSN. Não ficou claro quem abriu o banco, que pode ter agregado informações de incidentes anteriores, possivelmente incluindo o vazamento de 2024 do serviço National Public Data.
O banco estava hospedado na Hetzner, provedor de nuvem alemão. Como não foi possível identificar o proprietário, a UpGuard notificou a Hetzner em 16 de janeiro, que, por sua vez, informou o cliente e removou os dados em 21 de janeiro. A Hetzner não comentou à WIRED antes da publicação.
A equipe analisou uma amostra de 2,8 milhões de registros, em vez do conjunto completo, devido ao tamanho e à sensibilidade. A partir da amostra, estimou-se que grande parte dos dados é de origem norte-americana, datando de cerca de 2015, com padrões de senhas associados a referências culturais.
Analistas destacam que dados velhos continuam relevantes porque endereços de e-mail e senhas costumam ser reutilizados entre sites. Além disso, números de SSN tendem a não mudar, tornando-se alvos valiosos para fraude de identidade. Em parte da amostra, cerca de 25% dos SSNs pareciam válidos.
Entre os impactos, especialistas ressaltam que nem todos os dados expostos foram explorados. Em alguns casos, identidades envolvidas já estavam expostas, mas não violadas. A constatação reforça a necessidade de cautela com governança de dados e com salvaguardas que protegem informações sensíveis.
Entre na conversa da comunidade