Em um início de ano marcado pelo chamado megavazamento de dados e por ataques pontuais a empresas públicas e privadas, mais de 47 mil senhas e emails ligados a administrações públicas do Brasil -a maior parte do governo federal- vazaram ou foram expostos na internet no primeiro trimestre, mostra relatório exclusivo da Axur, empresa de cibersegurança.

A alta em relação aos três meses anteriores é de 580%. A empresa também detectou 122 mil credenciais (email e senha) de domínios corporativos.

As credenciais não necessariamente dão acesso aos sistemas internos, pois podem ter sido vazadas a partir de cadastros feitos em outros sites utilizando esses emails. Algumas também são antigas, mas vêm sendo agregadas a compilados de dados mais amplos vendidos na internet.

Considerando todos os pares de email e senha detectados pela empresa, o 123456 disparou como a senha mais utilizada, representando 43% das dez mais vazadas. Seu uso é quase três vezes superior ao da segunda preferida pela população, a 123456789.

Do total, 80% contêm apenas números ou letras maiúsculas.

Esses registros vêm de vazamentos governamentais recentes ou antigos, como da SPtrans e do extinto Ministério do Trabalho -hoje com atribuições integradas a outros ministérios-, e empresariais. Um exemplo é a Nitro PDF, uma aplicação online quer permite a edição de documentos em PDF, que teve 14 GB de informações divulgadas no início do ano, segundo o relatório.

Em nota, a Secretaria de Governo Digital do Ministério da Economia diz que os sistemas do governo não foram alvo de ataques bem-sucedidos e que nenhuma informação de Estado foi comprometida a partir de fatos apurados até agora.

"Levantamento anterior, realizado em março deste ano, já havia concluído que todas as contas identificadas se referiam a cadastros dos usuários em aplicativos ou portais privados, onde o usuário utilizou o seu e-mail institucional. Portanto, reforçamos não ter havido comprometimento de nenhum sistema ou informação governamental."

Segundo a Axur, houve um megavazamento de credenciais em fevereiro, na base de dados que hackers e especialistas estão chamando de Compilado 2021, com dados e informações coletadas em vazamentos desde 2013. Esse agregado reúne 2,2 bilhões de credenciais, não apenas referentes ao Brasil.

Para especialistas, a rápida transformação digital das empresas durante a pandemia criou novas brechas para o cibercrime. O ransomware, ataque em que hackers sequestram dados de uma companhia e pedem dinheiro para liberá-los, também cresceu no período.

Até a LGPD (Lei Geral de Proteção de Dados), cujas multas podem ser aplicadas a partir do meio do ano, poderá ser usada como elemento de chantagem pelos criminosos.​

"É provável que façam a extorsão [dos dados] depois que as multas estiverem vigentes. Pode ser um grande incentivo para a atividade criminosa, porque uma grande empresa prefere pagar um resgate de, por exemplo, R$ 5 milhões, do que eventualmente R$ 50 milhões pelo vazamento [valor máximo da multa]", diz Fábio Ramos, presidente da Axur.

A empresa estima que, a partir de grandes vazamentos globais do início do ano, cerca de 3,7 bilhões de dados pessoais tenham sido expostos indevidamente nos três primeiros meses.

No Brasil, o maior incidente foi o megavazamento que expôs 223 milhões de CPFs, além do arquivo que contém o CNPJ de 40 milhões de empresas, 104 milhões de dados de veículos e outros 39 tipos de documentos. A investigação do caso ainda não foi concluída.

"O vazamento está sendo pego a reboque do ransomware, que está em franco crescimento. Os criminosos estão se profissionalizando em um esquema de franquia e de áreas especializadas, que envolve a criação do ransomware e a venda do acesso a uma empresa", diz Alexandre Sieira, fundador da Tenchi Security.

O Brasil sempre teve uma grande quantidade de dados disponível ou comercializada, e a LGPD, segundo o especialista, tornou ilegal a atividade de empresas que antes vendiam informações públicas sem penalidades. "Sempre existiu essa indústria que coletava informação pública, empacotava e vendia sem consentimento do titular. Agora ela migrou para os fóruns ilegais", afirma.

O Brasil teve 250 mil cartões de crédito e débito expostos no primeiro trimestre, ainda segundo a Axur, o que representa 59,4% do total. É mais que o dobro de números identificados nos Estados Unidos, que ocupa o segundo lugar da lista.

A empresa de cibersegurança fez o relatório a partir do monitoramento diário de milhões de URLs e artefatos maliciosos detectados por sua equipe e por sistemas de inteligência artificial. Ao menos 12 bases foram analisadas, tanto da web superficial, como da deep e dark web, que não são indexadas por buscadores, como o Google.