网络安全公司ISH Tecnologia表示,它发现了两个在暗网上出售的巴西人数据库。
其中一个正在以600美元的价格提供,将来自Siape(人事管理综合系统),从2020年泄漏的联邦公务员和退休人员的信息打包数据。
根据暗网用户发布的信息,该公司还声称,另一个软件包包括SPC(信用保护服务)的数据——不过,该实体否认其数据被泄露。
“从SPC获取的个人数据被出售的信息不真实,”SPC在一份声明中说,“为调查此案进行了技术分析,结论性报告表明,所披露的个人数据与巴西SPC的数据库没有任何关联,也没有相关性。”
这些数据并没有经过ISH Tecnologia的分析,该公司不能说明有多少人将受到数据泄露的影响。
这些泄露数据的帖子将于6月下旬在2022年第一季度创建的网络犯罪论坛上发布。
这些数据已经离开了暗网,进入了深网——这是一个更容易访问的空间。根据ISH Tecnologia的首席创新总监Leonardo Camata的说法,这就好像是数据出现在一个更容易浏览和暴露的表面,就像我们在谷歌搜索中发现的网站一样。
“当出现这种类型的泄漏时,这些信息最终会出现在暗网上,更黑暗的论坛中。”Camata说,“要访问暗网,您需要特定的技术。”
Avast的高级兼职研究员Luis Corrons说:“虽然它在某些情况下被用来规避审查或保持通信加密,但暗网也有专注于非法活动的社区。”
“多年来,我们目睹了在暗网上出售了大量个人信息,其中大部分来自数据泄露。”他说。
在深网或暗网,许多这样的论坛很难进入,并通过邀请来运作。根据Camata的说法,ISH Tecnologia公司确定的那个项目,任何人都可以访问。
据该公司称,在该帖子中,犯罪分子通过Telegram提供联系渠道,并要求通过加密货币付款,从而难以追踪。
“这些销售是靠声誉产生的”,Camata说。也就是说,卖家对该社区的信任程度。
买家可能是对技术不太熟悉的人,但他对信息有兴趣,可以实施诈骗。
“数据泄露并不是欺诈的终结,”他说。有了更多信息,欺诈行为就会变得更加精细。例如,识别受害者的公积金和出生日期的电话,比要求用户点击链接的电子邮件更可信。
“巴西是最后几个通过《通用数据保护法》等法律的国家之一”,他谈到2018年批准的文本时说。LGPD允许公民要求公共和私营公司提供明确的信息,说明收集了哪些数据,如何存储以及用于什么目的。
除此之外,还有设备的漏洞。Camata说,巴西人仍然不习惯应用安全程序,例如要求在他们的应用程序上进行两步验证以及为多个帐户使用不同的密码。“文化需要时间来转变,”他说。
面对近年来大量的数据泄露,Camata表示,最好的预防措施是假设任何新的联系人都可能是恶意的,无论是通过电子邮件、信息还是电话。