Mais 127 milhões de senhas de oito sites surgiram à venda no Dream Market, um mercado de produtos ilegais que funciona na dark web. A descoberta foi feita pelo site britânico The Register, na última quinta-feira (14), que relatou que pacote completo de informações roubadas podia ser obtido pelo equivalente a R$ 54 mil em Bitcoin.
O autor do anúncio também vendeu na última semana arquivos que continham informações de um vazamento de 620 milhões de dados de apps como MyHeritage, MyFitnessPal e Dubsmash. Já os dados à venda desta semana incluem os bancos dos servidores invadidos do buscador de passagens Ixigo, da ferramenta de vídeo ao vivo YouNow e do jogo online Stronghold Kingdoms.
O Dream Market é um site que abriga um mercado ilegal acessível apenas por navegadores que operam na rede Tor. Lançado em 2013, o serviço é ponto de encontro para todo tipo de anúncios criminosos, que variam entre fornecimento de drogas e armas até bancos de dados originados de ataques hackers — como é o caso do pacote de 127 milhões de senhas.
Os hackers não oferecem provas de que os dados anunciados no Dream Market são verídicos. No entanto, aos poucos as empresas envolvidas no ataque confirmam que, de fato, tiveram infraestruturas invadidas. Esse é o caso do YouNow, que admitiu ao site de tecnologia Bleeping Computer ter sido alvo dos criminosos, mas, como usa login do Google e Facebook, garante que informações roubadas não incluem senhas nem dados de pagamentos, já que eles não ficam armazenados nos servidores próprios da empresa.
De posse de informações pessoais vendidas na dark web, criminosos podem aplicar golpes em sites de e-commerce, companhias aéreas, finanças e hotelaria, por exemplo. Estudos mostram que cerca da metade dos ataques podem visar invadir contas de vítimas em serviços de bancos e hotéis. Pessoas que repetem as senhas em diferentes logins facilitam a ação criminosa, já que um vazamento dá acesso a mais de um serviço do usuário.
Para saber se você foi uma vítima desse novo ataque hacker, é possível usar serviços como o Have I been pwned. A página cruza e-mails informados pelo usuário e cruza com bases de dados públicas de informações roubadas para avisar se suas credenciais estão nas mãos de criminosos.