Os pesquisadores da SafeBreach descobriram que o Google VirusTotal sofreu um ataque e dados dos usuários foram expostos.
O popular serviço online para a análise de arquivos suspeitos, URLs e endereços IP, que foi criado por um homem de Málaga e agora é propriedade do Google, VirusTotal, teve um incidente de segurança bastante infeliz.
Como os pesquisadores da SafeBreach descobriram, as credenciais roubadas por malware podem ser coletadas.
Google VirusTotal sofreu um ataque e dados dos usuários foram expostos
De fato, com uma licença mensal do VirusTotal de € 600, eles obtiveram mais de um milhão de credenciais de usuário com apenas uma pesquisa simples e algumas ferramentas.
Todos eles vêm de arquivos extraídos de máquinas infectadas, carteiras de criptomoedas não criptografadas, etc., e acabaram hospedados no VirusTotal.
I've found this on VT pic.twitter.com/U8v4ix1acx
— Florian Roth ⚡️ (@cyb3rops) January 17, 2022
O pesquisador do SafeBreach contou com um método simples (idiota) para isso. E é que a API e as ferramentas do VirusTotal (VT Graph, Retrohunt,…) podem ser usadas para encontrar arquivos que contenham dados roubados (e-mails, nomes de usuário, credenciais de acesso a redes sociais, sites de comércio eletrônico, serviços de pagamento online, plataformas de streaming, serviços governamentais online, contas bancárias e chaves privadas de carteira de criptomoedas).
De acordo com o SafeBreach’s Bar, “Nosso objetivo era identificar os dados que um criminoso poderia coletar com uma licença do VirusTotal”, um método que eles apelidaram de VirusTotal Hacking.
“Um criminoso que usa esse método pode coletar uma quantidade quase ilimitada de credenciais e outros dados confidenciais do usuário com muito pouco esforço em um curto período de tempo usando uma abordagem livre de infecção. Chamamos isso de crime cibernético perfeito, não apenas pelo fato de não haver risco e esforço muito baixo, mas também pela incapacidade das vítimas de se protegerem desse tipo de atividade. Depois que as vítimas são invadidas pelo hacker original, a maioria tem pouca visibilidade sobre quais informações confidenciais são carregadas e armazenadas no VirusTotal e em outros fóruns.”
Os pesquisadores instaram o Google, por meio de sua subsidiária Chronicle Security, a procurar e remover esses arquivos de dados de usuários e banir as chaves de API que os carregam, além de adicionar um algoritmo que impeça o carregamento desses arquivos para realizar limpezas periódicas e que isso não não acontece.
Mas, por enquanto, o Google não levantou um único dedo para evitar isso…