LulzSec derruba site da CIA e vaza mais de 60 mil senhas — descubra se a sua está no meio

Por: em 17/06/11 na(s) categoria(s): Internet, Meio Bit, Miscelâneas

comentários 28

Depois de causar transtornos e deixar muitos gamers sem poder jogar online na última terça-feira na operação #TitanicTakeoverTuesday, o grupo Lulz Security continuou a balbúrdia e, agora, com ataques mais elaborados — e perigosos.

LulzSec anuncia que site da CIA caiu.

Ao ser desafiado por um usuário do Twitter, que disse ao LulzSec que eles só derrubavam “peixes pequenos”, o grupo mirou suas armas para algo… maior. No caso, o site da CIA.

Embora ele tenha de fato caído, o blackout foi bem rápido; poucos minutos depois o site já tinha voltado ao ar, mas de qualquer forma fica o registro de que, depois de servidores de games, de uma firma de segurança (!) e do Senado americano (!!!), a CIA também entrou para o rol de vítimas do LulzSec.

Pouco depois, outro anúncio grandioso. O LulzSec causou certo pânico ao anunciar o vazamento de 62 mil senhas. O pânico veio do fato do grupo não ter especificado de onde seriam essas senhas. Deixaram no ar, falaram em Gmail, PayPal, Facebook, mas nada de confirmação.

O Gizmodo americano, baseado no banco de dados disponibilizado pelo grupo, criou um formulário que verifica se o seu email está no bolo.  Horas mais tarde, o The Hacker News afirmou que o banco de dados é do (estranho) site Writespace.com, uma espécie de rede social para leitores com visual bem datado.

Parafraseando aquela novela, quem será a próxima vítima?

Com informações do Gizmodo BR.

Assuntos: #, #, #, #, #, #

Blogger, bacharel em Direito e acadêmico de Sistemas de Informação.

Mais textos de | Site | Twitter

  • http://www.csrenan.com Renan the Geek

    Em outras palavras, o Gizmodo lançou seu próprio serviço de pescaria de senhas.

    “Entre com seu email aqui e nós vamos ver se uma das senhas na nossa base corresponde!”

    • http://www.rodrigoghedin.com.br Rodrigo Ghedin

      @Renan the Geek, eles garantem que não armazenam, nem usam os emails inseridos no formulário. Sei que vai muito da confiança, mas até que provem o contrário, eu acredito — eles têm muito mais a perder caso uma tramóia dessas se torne pública do que simplesmente oferecer um serviço legítimo e de utilidade pública.

      []‘s!

  • http://cyberramses.wordpress.com CyberRamses

    Essa brincadeira já perdeu a graça. O que impede eles de roubarem dados altamente sigilogos, de nível de segurança nacional? O que impede de roubarem dados estratégicos do Pentágono e venderem para terroristas? E se roubarem dados do Programa de Proteção à Testemunha? E dados de seguridade social, senhas de cartão de crédito e acesso a contas bancárias de todo mundo?

    Só que o Lulzsec comprou uma briga grande: a partir de agora o grupo é inimigo do estado americano, como atesta a nova “Estratégia Internacional para o Cyberespaço”: http://meiobit.com/85418/eua-hacking-contra-atacar-guerra/

    • http://www.csrenan.com Renan the Geek

      @CyberRamses, eu já vejo a coisa de outra forma. O pessoal do LulzSec tem culpa, sim, mas tem igualmente culpa as empresas que desenvolveram todos esses sistemas de software nas coxas, sem preocupação com a segurança. Isso tudo poderia ter sido evitado.

      • http://cyberramses.wordpress.com CyberRamses

        @Renan the Geek, há uma regra não escrita na programação: “Não existe sistema 100% seguro”. Simplesmente.

        O PS3 foi blindado por anos e eventualmente, foi hackeado. Diziam que o iPhone era imune e foi desbloqueado assim que saiu, em 2007.

        Concordo que há diferença entre sistema seguro e feito nas coxas, mas também há diferença entre um nerd melecão que entra em sites pra tirar onda e profissionais de segurança organizados, que creio eu, é o caso do core tanto do Anonymous quanto do Lulzsec.

        • http://www.bsrsoft.com.br André Luis Pereira dos Santos

          @CyberRamses,

          O PS3 não tinha nada de blindado. Só não tinham pensado ainda que a segurança dele era baseada totalmente em uma única chave.

          Fatoraram a chave pimba!

          Uma só destrava ele todo.

          Segurança feita nas coxas, sim, pela Sony.

          Fatoração de chaves é algo que só chave fraca em segurança fraca cai hoje. Por isso que ninguem sai fatorando as chaves de 128 bits e 256 bits que garantem o SSL por ai.

          Já viu alguem quebrar o SSL? Nunca ninguem mostrou que fez.

          Já do PS3, hehehehe. Cai fácil. Só precisaram de criatividade para descobrir o método da Sony.

          Segurança nas coxas.

      • Falkien

        @Renan the Geek, Dizer isso é como falar quer o ladrão só invadiu a sua casa porque você não instalou cerca elétrica. O paralelo é meio difícil, mas acho que vale.

  • hideki

    Vou tentar de casa, de qualquer forma já troquei todas as minhas senhas.

  • http://cyberramses.wordpress.com CyberRamses

    E quem quer checar, o site com as senha é esse aqui, já que o Mediafire deletou o arquivo várias vezes seguidas: http://lulzsecurity.com/releases/62000_random_logins.txt

    Tem mais de 5000 senhas de servidores .com.br, dos servidores Yahoo e Bol. Verifiquem lá.

    • http://www.csrenan.com Renan the Geek

      “eugeniotemqmorrer@hotmail.com”

      EU RI!

    • http://www.bsrsoft.com.br André Luis Pereira dos Santos

      @CyberRamses,

      KKKK:

      2128 | eusoucasada | sylviaanncosta@uol.com.br |

      • http://www.bsrsoft.com.br André Luis Pereira dos Santos

        @André Luis Pereira dos Santos,

        Depois reclamam que sequestraram a conta do Orkut.

        Meu Deus!!!!!

    • http://homensdoamanha.com/ r0t3ch

      @CyberRamses,Como é divertido usar ctrl+f e pesquisar por password,123456 etc…Uma pouca as senhas que se encontram lá.

      • http://homensdoamanha.com/ r0t3ch

        @r0t3ch, “Uma pouca vergonha as senhas que se encontram lá “

    • http://www.crashcomputer.tk Luciano

      @CyberRamses, nesta lista em TXT eu tenho coragem de procurar eheh, olhei e não tem nada meu ai. Mas dando uma boa olhada na lista, tem gente que parece que faz de tudo pra facilitar o roubo de contas… o que tem de 1234 não tá no gibi.

  • Andreh

    É impressão minha ou as infos são na maioria de brasileiros…???

  • lipinho

    CIA continua sendo um peixe pequeno. Qual é, o site da CIA não precisa nem de um grande servidor (uma vez que há poucos acessos ao site) muito menos de segurança reforçada NO SERVIDOR DO SITE, já que não há informações importantes no mesmo além de textos, que por detalhe, são exibidos no próprio site.
    E vamos combinar: servidor de game qual quer infeliz faz e coloca-la na web. Hackea-los também não é algo muito grande.
    Outra coisa: quem disse que as senhas/emails REALMENTE funcionam? Quem disse que não foram eles que colocaram coisas aleatórias lá apenas para assustar?
    E bem, em tese, a empresa Element Software (http://www.elementsoftware.co.uk/) é uma empresa de segurança, já que prove solução anti-vírus, mas mesmo assim não me parece algo muito difícil de ser invadido.
    E sobre o site do Senado, novamente, não há nada de importante lá, não necessita de segurança pesada muito menos de grandes servidores.
    O que quero dizer é: sim, eles tem uma rede de bot relativamente grande, mas a mídia faz muito alarde para algo que é muito relativo. Tem muito sensacionalismo em algo que não merece tanto. E sim, eles hackearam sites “importantes” (novamente, não tinham informações relativamente importantes), mas não por competência (digo, não APENAS por isso), mas também pela falta dela nos admins dos sites.
    Querem impressionar, bem, invadam o Google, Microsoft, ou o serviço iCloud da Apple… ai sim, eu vou ficar MUITOOOOOOOOOOOOO impressionado… agora, enquanto eles invadirem “blogs” e servidores de joguinhos podres, eu não vou ficar nem um pouco impressionado, com eles, mas com a mídia por abusar do sensacionalismo.

    • http://www.bsrsoft.com.br André Luis Pereira dos Santos

      @lipinho,

      Hehehehe. De quinta pra cá já houve compra de Iphone em nome de quem está na lista feito na Amazon, alteração de perfis no Facebook e um monte de coisas.

      A lista é quente. Não duvide não.

      • http://www.crashcomputer.tk Luciano

        @André Luis Pereira dos Santos, Bota quente nisso… eu de farra catei um login daquela lista e bingo… funciona. Não fiz nada e nem bisbilhotei porque este não é o meu perfil, mas foi mais mesma pra ver que a informação é quente. :mrgreen:

    • http://www.bsrsoft.com.br André Luis Pereira dos Santos

      @lipinho,

      Aliás, a PSN ser um servidorzinho de joguinhos…

      É dose heim!!!

      • lipinho

        @André Luis Pereira dos Santos, Nãooo, ela é GIGANTE, tanto que dois grupos de bots diferentes conseguiram derrubar ela, sendo que um deles a derrubou por oque, 1 mês?

        • http://www.bsrsoft.com.br André Luis Pereira dos Santos

          @lipinho,

          KKKK. Certo. PSN é nanica.

          Coisa sem importância.

          Hehehehe. Nem sei porquê me dignei a responder agora.

  • http://twitter.com/vitprado Vitor Prado

    O fato mais importante e perigoso disso tudo, e que não está recebendo a devida atenção foi falado neste anúncio no site: http://lulzsecurity.com/releases/1000th_tweet_press_release.txt

    Pra ser mais específico, parafraseando o que foi dito em um trecho do texto… Vocês acham que todos os hackers divulgam suas invasões? Toda empresa invadida faz questão de publicar que errou e que possuía fragilidades? Acreditar nisso é ser muito inocente. O que nós sabemos sobre roubo de informação não é nem a ponta do iceberg.

    Tirar alguns sites fora do ar por alguns minutos não chega a ser algo preocupante. Na verdade um monte deles já fica fora do ar vez ou outra sem nenhuma interferência externa. Problemas deste tipo acontecem. O problema real está em como nossas informações estão sendo armazenadas e qual é o nível de conhecimento nescessário para que os criminosos consigam ter acesso.

    • http://www.bsrsoft.com.br André Luis Pereira dos Santos

      @Vitor Prado,

      Com certeza. O ruim é ver essa lista publicada com senhas em flat text.

      Isso foi retirado de bancos de dados que nem mesmo usam a mais básica medida de segurança para senhas: hash com MD5 (ruim) ou SHA1 (melhor).

      Lamentável. Segurança feita nas coxas.

      • http://www.csrenan.com Renan the Geek

        @André Luis Pereira dos Santos, ou não.

        Os bancos de dados podiam ter só os hashes das senhas, mas hoje em dia nem isso mais é seguro, por causa de um tipo de ataque chamado “tabela arco-íris” (sim, é isso mesmo, procura no Google por Rainbow Tables). Existem formas de tornar o hash mais seguro, mas com o que as empresas estão fazendo hoje em dia, é só questão de tempo para serem quebrados.

        Em tempo, seria possível para o pessoal usar hashes que demorariam meses para serem quebrados. Então de duas uma, ou o LulzSec tá nisso há muito tempo e as senhas são antigas, ou o pessoal administrando esses servidores está usando hashes pouco seguros.

        • http://www.csrenan.com Renan the Geek

          …Ou eles podiam salgar o hash e aí seriam imunes a isso. Esqueçam o que eu falei aí em cima.

          • http://www.bsrsoft.com.br André Luis Pereira dos Santos

            @Renan the Geek,

            EDxtamente. Junto com hashs o correto é utilizar salts.

            Isso torna a quebra dos hashes extremamente difícil.

  • Zmaster

    Eu falei, a coisa vai piorar!!

    Administração incompetente, estão pagando pra ver!!

    EM breve um grande portal vai ser exposto!!