Vazamento de base de dados do Me Adiciona culmina com sequestro-relâmpago de contas no twitter (Atualizado)
Por volta do meio-dia de hoje, a blogueira Rosana Hermann (soube mais tarde que era alguém usando a sua senha do twitter) escreveu um tweet curioso: “invadiram o @meadiciona_ e colocaram a base na internet:” seguido de um link para um arquivo .doc hospedado no Rapidshare.
Eu consegui uma cópia desse arquivo e tratei de verificar se estava contaminado com vírus ou não. Uma mera formalidade, pois o próprio rapidshare não permite a hospedagem de arquivos maliciosos. O arquivo estava limpo. Eu abri e o que constatei foi, no mínimo, assustador.
Trata-se de não só uma, mas várias bases de dados do Me Adiciona juntas. Estão nelas nomes, emails, telefones, sites de vários usuários. Com uma rápida busca no documento, consegui achar até o Cab!
Para proteger a privacidade dos usuários tomei o cuidado de pixelar seus nomes, sobrenomes, logins e emails.
Na imagem acima, pixelei também as senhas codificadas que acompanham esses dados e que, justamente por estarem codificadas com criptografia MD5, são (supostamente) inúteis nas mãos de qualquer hacker. Só o servidor MySql pode(ria) decodificá-las e mesmo assim, nunca seriam exibidas em formato de texto puro, servem apenas para comunicação entre máquinas. Além da base de dados de usuários, percebi que lá havia também a base de dados do que aparenta ser um blog interno da empresa que usa o WordPress.
Entrei em contato com o Diego Sampaio, do Meadiciona.com às 2 da tarde e ele respondeu dizendo “Até o momento não recebemos provas da existência deste arquivo, portanto, não posso lhe afirmar se é verdadeiro ou não.” e pediu que enviasse o arquivo. Enviei e obtive a seguinte resposta:
Realmente trata-se de parte um banco de dados de nossa versão antiga, que saiu do ar em janeiro. Iremos investigar se este arquivo vazou através de nossa equipe ou de outra forma.
Segurança é uma de nossas prioridades, seja criando filtros de contatos ou melhorando nossa estrutura.
É importante observar que o envio das mensagens no Twitter não tem relacionamento com este banco de dados, uma veze que as senhas estão encriptadas e nosso sistema não armazena a senha dos serviços de nossos usuários. Além disso, várias pessoas que publicaram a mensagem não sao usuários de nosso serviço.
Pedimos desculpas pela falha e informamos que, com a ajuda das informações repassadas pela Rapidshare e pelo próprio Twitter, estamos acionando o departamento de Cyber Crimes da Polícia Federal.
Agradecemos sua ajuda e atenção. Por favor, por motivos óbvios, não publique o arquivo que me encaminhou.
O que me intrigava no momento que lia o arquivo, foi como a Rosana, que não tem a índole má o suficiente pra roubar esses dados, conseguiu o documento. Quando twitei sobre o assunto, ela me mandou uma mensagem direta dizendo que não tinha sido ela quem escreveu, mas mesmo antes disso eu já suspeitava do roubo da senha. Foi o usuário Wendelscardua que me confirmou de vez a hipótese: “o ponto chave é a sequência de tweets com nicknames em ordem alfabética.”
Você pode verificar, se procurar pelo texto do primeiro tweet com o link para o arquivo na search do twitter, que o tweet postado por parte do hacker na conta da Rosana está na 6ª página. E da 5ª pra trás, vai perceber que o mesmo texto com o mesmo link foi publicado por vários outros usuários em ordem alfabética, se não contar os retweets. Todos eles tiveram suas contas sequestradas. A Rosana foi só a vítima que tinha mais seguidores.
Então caiu a ficha. Eu suspeito de que foi apenas uma falha de segurança: a do Me Adiciona, que resultou no roubo das suas bases de dados antigas. Eu cheguei a ponderar a teoria de que seriam dois exploits diferentes, uma do site concentrador de serviços e outra do twitter. Mas o fato é que os usuários que tiveram suas contas sequestradas são todos brasileiros. Não pude verificar um por um se são todos usuários do MeAdiciona, mas boa parte deles são.
Os parenteses no 4º parágrafo desse post não estão lá à toa. Elaborei duas hipóteses para o que aconteceu. A primeira é de que os usuários do meadiciona.com usaram a mesma senha tanto para o serviço quanto para o twitter e através de um decodificador de hashes (que até hoje eu achava que não existia), o ladrão da base de dados conseguiu acesso às contas e tratou de jogar a M* no ventilador, com o perdão da palavra. A segunda é de que alguém dentro do próprio MeAdiciona tem privilégio o suficiente pra ver as senhas em texto puro e, de posse delas, usou na conta do twitter de usuários que usam a mesma senha para todos os serviços e fez o estrago. Você, leitor do Mundo Tecno, acredita no que quiser. Essas são só as minhas suspeitas.
A lição principal é: nunca, jamais use a mesma senha para tudo na internet mas se você tiver conta tanto no Meadiciona quanto no twitter e for um dos descuidados, troque sua senha imediatamente. Mesmo com o Diego avisando que não há relação entre os ocorridos, troque por precaução. Afinal, o arquivo ficou no ar durante uns bons 5 minutos antes do Rapidshare puxar o plug. E se há um meio de decodificar as senhas, sua conta no twitter pode ser sequestrada.
Update: A PCWorld divulgou agora há pouco que sim, existiu um exploit no twitter que pode ter sido usado para propagar a mensagem inicial. A falha permitia que uma mensagem fosse postada no twitter de quem estivesse logado no browser no momento. Ela já foi corrigida.
Porém, como o próprio Diego já explicou, essa base de dados é de Janeiro. Estamos em Março. É tempo o suficiente pra que, segundo os comentários deste post, alguém de posse das senhas criptografadas possa decriptografá-las (ou decriptografá-la, no caso) e usar o exploit para seus próprios propósitos nefastos.
Update 2: Sim, com a publicação do exploit acima, a teoria de decriptograficalização (?) das senhas vai parcialmente por água abaixo. Na verdade ela fica com a água na altura da cintura, mas não afunda. Mais sobre o caso no nosso podcast de terça-feira. Dessa vez vai!
Newsletter Mundo Tecno
Comentários: