A internet ferveu com a notícia de um 'vazamento massivo' na Vivo. Mas, como sempre, a realidade por trás do hype é bem mais complexa e, para o seu bolso, mais perigosa.

Relatos de dados de clientes da operadora circulando em fóruns criminosos geraram pânico. Contudo, apurações revelam que a narrativa de uma falha interna da Vivo é falsa, e o problema reside em uma velha conhecida do submundo digital: os infostealers.

Seus Dados na Roda: O Que Realmente Aconteceu com as Credenciais?

Olha só, a internet é um campo minado, e a cada boato de “vazamento massivo”, a galera já entra em modo pânico. Desta vez, o alvo foi a Vivo, com a história de que 557 mil contas estariam circulando por aí. Mas, como bom “escovador de bits”, fui fuçar a ficha técnica e a verdade é bem menos dramática para a operadora, e mais um alerta para o usuário final.

A parada é a seguinte: não houve um “vazamento de dados massivo” dos servidores da Vivo. Esquece aquela imagem de hackers invadindo o datacenter da empresa e puxando tudo. O que rolou foi a divulgação de um apanhado de credenciais que, sim, pertencem a clientes da Vivo, mas foram coletadas de uma forma bem mais insidiosa: através de infostealers.

Pensa num motor que está rodando liso, mas o combustível que você coloca nele está adulterado. Não é culpa do motor, entende? Esses dados são, em grande parte, “requentados”, ou seja, já estavam por aí, em outros vazamentos ou coletados há anos por esses malwares. Consultamos analistas de segurança que confirmaram: muitos desses registros datam de 2020 ou até antes. Não é um “gargalo” novo, é um problema crônico de segurança pessoal que veio à tona de novo.

O alarde começou quando uma empresa de cibersegurança, a Vecert, soltou um alerta no X (antigo Twitter) com um título bem sensacionalista: “Urgente: vazamento de dados massivo na Vivo Brasil”. Isso pegou tração, gerou pânico e virou uma bola de neve de desinformação. É o tipo de coisa que faz a gente questionar a qualidade do “combustível” que algumas fontes de informação usam.

A Vivo, por sua vez, foi categórica: “A Vivo esclarece que não houve vazamento de dados a partir de seus sistemas. O caso divulgado refere-se a um ataque do tipo infostealer, em que um malware é instalado por criminosos em dispositivos pessoais para capturar credenciais e senhas utilizadas em diferentes aplicativos e serviços online.” Ou seja, a bronca não é da operadora, mas sim do descuido digital de alguns usuários que acabaram com um software espião rodando em suas máquinas.

Anatomia do Infostealer: Como o Malware Rouba Seus Bits e Bytes

Agora, vamos aos detalhes debaixo do capô. O que diabos é um infostealer? Basicamente, é um programa espião, um malware sorrateiro que se instala no seu PC ou smartphone e começa a aspirar tudo que é informação sensível: dados pessoais, credenciais de login, senhas de diferentes serviços online. Ele não se importa se é Vivo, Google, ou seu banco; ele quer é o acesso.

O grupo por trás da divulgação desses “logs” no BreachForums se autodenomina V for Vendetta Cyber Team (VFVCT). Eles anunciaram a oferta gratuita de 557.892 registros. Mas, como sempre, os números precisam ser verificados com um bom multímetro. Ferramentas de inteligência de ameaças, como a HudsonRock, que é especializada em verificar credenciais de infostealers, apontam para um número bem menor: cerca de 282 mil registros. Quase metade do que foi alardeado! É a diferença entre o marketing e a ficha técnica real.

Reinaldo Bispo, um especialista em threat intelligence, jogou a luz sobre o modus operandi desses caras. Ele observou que o VFVCT informa que os arquivos são “CVS/LOGS”. E o que são esses “logs”? São geralmente dados coletados por infostealers, arquivos ULP (URL/Login/Password) que são vendidos e divulgados na Deep/Dark Web. O padrão é o mesmo em outras postagens do ator criminoso: sempre envolvendo grandes empresas, sempre com arquivos “LOGS”, e zero retorno quando questionados sobre algo mais específico. É a mesma “arquitetura” de ataque, só muda o “chassi” da vítima.

Então, como você pode acabar com um desses “parasitas” no seu sistema? A infecção por infostealers geralmente ocorre por:

A Vivo, em seu posicionamento, não só negou o vazamento interno, como também reforçou a importância da segurança do usuário. E eles estão certos. A responsabilidade de manter a “blindagem” do seu sistema é sua. Aqui estão as recomendações, que valem para qualquer um que não queira ter seus dados rodando por aí:

No fim das contas, a lição é clara: a segurança digital é uma responsabilidade compartilhada, mas a linha de frente é sempre você. Não espere a operadora te salvar de um malware que você mesmo instalou. Mantenha seus “drivers” atualizados e seu “hardware” protegido.

A Vivo mantém que seus sistemas não foram comprometidos, e a responsabilidade pela segurança digital recai, em grande parte, sobre as práticas dos próprios usuários. Para entender mais sobre a atuação desse tipo de malware, confira também nosso artigo sobre Vidar 2.0, uma variante que também utiliza técnicas similares de coletar credenciais.