Há alguns dias a revista alemã “Der Spiegel” revelou que vários contactos pessoais de altos conselheiros de segurança do presidente Trump, estavam acessíveis na Internet. Com efeito, jornalistas conseguiram encontrar números de telefone, emails e até palavras-passe de figuras importantes da actual Administração Trump como Mike Waltz (conselheiro de segurança nacional), Tulsi Gabbard (directora de inteligência nacional) e até de Pete Hegseth (Secretário de Defesa). Os dados foram obtidos através de motores de busca e bases de dados publicadas na Internet e à venda na Dark Web. A exposição destas informações representa um risco de segurança significativo, pois poderia permitir a espionagem das comunicações desses oficiais, incluindo discussões sobre operações militares no Iémen já que estas passwords podem ser as mesmas que estas personalidades usam na sua conta Signal.

Para tentar compreender se o problema de exposição de credenciais de membros da Administração Trump também ocorreria em Portugal a CpC usou plataformas que agregam informação disponível em fontes públicas em várias exfiltrações para verificar qual era o grau de penetração de entidades e partidos políticos nas bases de dados de credenciais e email.

A fonte consultada pela CpC agrega mais de 14 milhões de endereços IP, emails, usernames, nomes, números de telefone, VIN Numbers e moradas. Sempre que encontrámos referências a passwords requeremos a esta entidade a sua remoção.

No decurso desta investigação encontrámos:
0 Emails de organismos e ministérios do Governo da República “apanhados na rede” (excelente)
1 Emails de organismos da Presidência da República apanhados na rede (sendo que pode ser uma “conta paródia” usando um email real da Presidência)
Encontrámos credenciais de 3 políticos no activo (todos foram avisados e confirmaram que se tratavam de passwords antigas).

Procurámos também nesta base de dados por emails públicos de Partidos Políticos portugueses encontrando 3 do PS, 2 do PCP, 1 do PSD e outro ainda do MPT. Todos foram avisados através do email principal ou de contactos directos (quando estes existem).

Numa última fase deste estudo procurámos pelos emails principais e de contacto das câmaras municipais portuguesas:
Um total de 1575 dados de emails principais de Câmaras Municipais portuguesas estão em Leaks na Internet.
296 câmaras municipais foram “apanhadas na rede”? (nem todas com credenciais)
13 não foram mas 189 (!) têm as suas passwords expostas na Internet (a maioria, felizmente, em exfiltrações antigas e – esperamos – que obsoletas).
43 têm as suas hashed passwords expostas na Internet.

Uma password hashed que esteja publicada na Internet é – assim como a password em Plain Text – um risco de segurança (ainda que menor):
1. Se o algoritmo de hash usado for fraco (como MD5 ou SHA-1), pode ser possível reverter o hash para descobrir a password original usando técnicas como “rainbow tables” ou por ataques de “força bruta”. Algoritmos mais seguros, como bcrypt ou Argon2 são, contudo, mais resistentes a estas técnicas.
2. Uso de “salt”: Um “salt” é um valor aleatório adicionado à password antes de ser “hasheada”. Sem um “salt”, hashes de password idênticas (como “123456”) serão sempre os mesmos, o que facilita ataques de “rainbow tables”. Se um “salt” não tiver sido usado, a password ainda pode ser vulnerável.
3. Se a password for publicada em um local acessível a qualquer pessoa (por exemplo, um repositório público), isso pode facilitar ataques direccionados, mesmo que a senha esteja “hasheada”. Se alguém souber qual é o algoritmo de hash e tiver acesso ao “salt” e ao valor “hashed”, a segurança diminui até zero.
4. Mesmo sem o algoritmo de hash ser fraco, se alguém tem acesso ao hash e puder testar diferentes combinações de passsword rapidamente, pode acabar por descobrir a password original, especialmente se esta for simples ou comum (constar num dicionário).

Algumas notas e conclusões quanto à segurança e presença de credenciais de câmaras municipais em leaks na Internet:
a. Algumas das passwords usadas pelos emails da Câmaras Municipais aparentam serem antigos (da data da fonte da exfiltração)
b. Conhecer uma password não basta para entrar numa conta (se esta tiver MFA)
c. Algumas passwords aparentam serem aleatórias o que indicia que são passwords originais. Ou seja, foram entregues a utilizadores e nunca mudadas por eles o que pode indicar que não há um sistema de expiração regular de passwords na organização.
d. Há utilizadores que gere caixas de correio de contacto com a população que usaram este email para registar contas no Badoo (uma rede social voltada principalmente para encontros, namoros e fazer novas amizades que foi lançada em 2006 e tornou-se popular em vários países, inclusive em Portugal e no Brasil)
e. Pelo menos uma password de um destes serviços oficiais e publicada num dump tinha como password “123456” (!).
f. Nos casos em há dumps de passwords hashed e em plain text isto significa que pode ser possível obter a cifra a partir desta combinação.
g. O facto de haver passwords em plain text indica que a fonte pode ter sido um browser password dumpt (tipicamente no Chrome, o que pode ser desligado) ou em bases de dados que não respeitam o RGPD
h. Encontrámos passwords que eram uma parte do nome da câmara municipal (!)
i. Num caso, a password é o mail pessoal de quem, a cada momento, tinha a gestão da mailbox (!)
j. Há uma câmara em que a password é/era o nome (total!) da autarquia!
k. Num caso de uma câmara municipal a password é o endereço de gmail (oficial) aparentemente de reserva.

Principais fontes de exfiltrações de credenciais de câmaras municipais:

1. Os dumps da anmp.pt e do teatroaberto.pt são inócuos porque apenas têm os emails e estes, de qualquer modo, já constam no site das autarquias. O da anmp.pt é a maior fonte de emails (4/5) de câmaras municipais portuguesas na Internet.

2. Covve (benigna porque apenas tem emails):
O Covve, uma popular aplicação de gestão de contactos, foi identificado como a origem de uma violação de dados que expôs informações de quase 23 milhões de pessoas.
Os dados comprometidos, que foram “deixados expostos num grande fornecedor de serviços na cloud através de uma instância Elasticsearch publicamente acessível”, incluíam nomes e cargos profissionais, endereços de e-mail, números de telefone e moradas físicas.

3. ⁨”Anti Public Combo List”⁩
A 16 de dezembro de 2016, foi comprometida a base de dados conhecida como “Anti Public Combo List”. Esta violação de dados apenas foi conhecida a 4 de maio de 2017. O incidente envolveu a exposição de endereços de email e palavras-passe.

4. “Exploit.In”
Em outubro de 2016, o fórum underground Exploit.In foi alvo de uma violação de dados significativa. A informação comprometida foi amplamente divulgada e utilizada em ataques de credential stuffing, nos quais os atacantes tentam aceder a outros sistemas online recorrendo a combinações reutilizadas de credenciais por parte dos utilizadores. Os detalhes específicos desta violação não estão bem documentados em fontes públicas, e o Exploit.In não emitiu qualquer comunicado oficial ou resposta pública sobre o incidente.
A violação terá afetado dados associados a cerca de 593 milhões de indivíduos. Entre a informação exposta constam endereços de email, palavras-passe e, possivelmente, outros dados sensíveis provenientes de diversas fontes comprometidas.

5. Cit0day
Em novembro de 2020, veio a público uma violação de dados associada ao serviço conhecido como Cit0day, que resultou na divulgação de uma base de dados contendo mais de 200 milhões de nomes de utilizador e palavras-passe. Este incidente ganhou notoriedade pela escala da exposição e pelo impacto que teve em múltiplas plataformas online, devido ao uso generalizado de credenciais reutilizadas.

6. Adobe
Em outubro de 2013, a Adobe, empresa líder em software reconhecida por produtos como o Photoshop e o Acrobat Reader, revelou ter sido alvo de uma grave violação de segurança. Atacantes conseguiram aceder indevidamente aos sistemas da empresa, obtendo uma quantidade significativa de dados sensíveis. Este incidente foi, na altura, uma das maiores violações de dados alguma vez registadas no sector do software, sublinhando a importância crítica de implementar medidas robustas de cibersegurança.
Foram afetadas mais de 153 milhões de contas de utilizadores, e entre os dados comprometidos estavam identificadores de utilizador, palavras-passe encriptadas, nomes, endereços de email e, em alguns casos, informações de cartões de crédito encriptadas e respectivas datas de validade.

7. Canva.com
A 11 de janeiro de 2020, a Canva teve conhecimento de uma lista contendo cerca de 4 milhões de contas de utilizadores, cujas palavras-passe foram roubadas no âmbito da violação ocorrida a 24 de maio do mesmo ano. Essas palavras-passe tinham sido posteriormente desencriptadas e partilhadas online.
Como medida imediata, a Canva restringiu o acesso às contas afetadas, iniciou o processo de anulação das palavras-passe não alteradas e notificou os utilizadores cujas credenciais estavam expostas em formato não encriptado.