Google indexou senhas roubadas e elas se tornaram automaticamente acessíveis para todos Check Point/Divulgação

Um grupo de hackers não pensou muito bem ao esconder senhas roubadas de usuários corporativos e elas acabaram sendo encontradas no Google. De acordo com a empresa de cibersegurança Check Point, em parceria com pesquisadores da Otorio, os roubos teriam acontecido em agosto de 2020, em uma campanha de phishing. Por conta do "vacilo" dos cibercriminosos, qualquer usuário conseguia ter acesso a um grande catálogo de senhas reais roubadas apenas pesquisando no buscador.

O golpe consistia no envio de e-mails que se disfarçavam como notificações de digitalização da Xerox, solicitando que os usuários abrissem um anexo HTML malicioso, que driblava o filtro de Proteção Avançada contra Ameaças (ATP) do Microsoft Office 365. O resultado foi mais de mil credenciais de funcionários corporativos roubadas. 

Depois de extraídos os dados, o grupo armazenava em dezenas de servidores WordPress, que incluíam um arquivo PHP malicioso, responsável ​​por processar todas as credenciais obtidas. Porém, segundo a Check Point, um simples erro na cadeia de ataque expôs todo o golpe. Os atacantes por trás dessa campanha de phishing acabaram expondo os dados na Internet, já que a pasta onde estavam armazenados estava indexada pelo Google. Assim, essa informação ficou visível para todo o público.

Como foi feito o ataque

1. Os cibercriminosos enviam um e-mail malicioso de phishing com um arquivo HTML anexado às vítimas em potencial.

2. Ao clicar no documento, as vítimas são redirecionadas para uma página de login semelhante a marcas populares, neste caso a Xerox.

3. As senhas e endereços de e-mails das vítimas foram enviados e armazenados em um arquivo de texto hospedado em servidores comprometidos.

4. O Google indexou esses documentos, de modo que eles se tornaram automaticamente informações acessíveis para todos, bastando, para isso, fazer uma busca na Internet.