Executando verificação de segurança...
9

Armazenamento de senhas: se a turma do mal tá dando vacilo, imagina a do bem!

Seria de se esperar que um grupo que atua invadindo sistemas e roubando dados tomasse o devido cuidado de tapar o tipo de brecha em seus sistemas que ele mesmo costuma se beneficiar nos de suas vítimas.

Recentemente o famoso grupo de ransomware LockBit teve o seu painel administrativo hackeado, e o respectivo banco de dados vazado. O mais curioso nisso (além de eu ter descoberto que existe o modelo de negócios de Ransomware as a service (RaaS), onde o grupo trabalha com afiliados), é que as senhas dos usuários do sistema de "CRM do crime" eram armazenadas em texto puro (plaintext, no inglês)!

Veja, por exemplo, o id 26 da tabela users:

Tabela users do banco da LockBit
[Imagem do Medium da SlowMist]

Caso você seja iniciante no assunto autenticação, saiba que essa é a forma mais insegura possível de se armazenar senhas no banco de dados, visto que ela fica exposta a qualquer um que tenha acesso a ele. Então, se você estiver construindo o seu RaaS (rsrs) ou SaaS, ou já toma conta de um, fique ligado nisso.

Se quiser saber mais sobre o assunto armazenamento seguro de senhas, dá uma conferida nesse excelente artigo do Rafael Tavares aqui.

E se quiser se aprofundar ainda mais, construindo um sistema de autenticação do zero, e muitas outras coisas que envolvem o desenvolvimento de um sistema web robusto e profissional, dá uma conferida no curso.dev.

A propósito, a notícia desse vazamento da LockBit saiu na melhor newsletter de tecnologia em português que existe: https://filipedeschamps.com.br/newsletter

Fontes

Carregando publicação patrocinada...
2
1

Realmente o acesso ao banco de dados é grave porém para o publico final o problema maior é o vazamento das senhas mesmo. Se tivesse em um hash não teria tanto problema por que os hackers ainda teriam que fazer todo um trampo pra poder decriptar

2

Kkkjjkkkd, é pra aplaudir de pé.

Os caras criam um império digital de extorsão, montam um CRM do crime, afiliam meia internet no esquema… e tropeçam justo onde fazem as vítimas tropeçar: armazenamento de senha em texto puro. É quase filosófico. 🧠🔓

A LockBit foi hackeada por não saber o básico da segurança que ela mesma explora.
Não é só o feitiço virando contra o feiticeiro — é o feiticeiro tropeçando no próprio spellbook porque achou que SHA era nome de DJ.

Isso só prova uma coisa: fazer o mal com competência técnica continua sendo raro.
E se até os vilões milionários não conseguem configurar um bcrypt, talvez o seu SaaS ainda tenha salvação.

Mas sério agora: se alguém ainda armazena senha em plaintext em 2025… o verdadeiro crime tá aí.

1

Arrombar uma porta é mais fácil do que construir uma.

Eu sempre tive essa sensação de que o jogo é desigual porque construir um sistema exige muita habilidade, conhecimento e orquestração de toda uma estrutura. Enquanto que, para invadi-lo, por mais que também precise de muito conhecimento, o seu foco passar ser somente encontrar brechas e explora-las.

Por isso, ficava imaginando se um criminoso hacker seria capaz de construir um sistema mais seguro ou simplesmente não sabe fazer um sistema...

1
1

Esses caras são tão "jeniais" que devem ter pensado:
Se nossos clientes não pagarem, podemos vender suas senhas, pra isso precisamos saber a senha em texto puro!
Haha é muita incompetência

1

Esses "hackers" usam software de terceiros construídos por verdadeiros hackers. Isso explica a incompetência. Então imagina construir "RaaS". Não conheço um hacker que oferece um programa que constrói um, execeto ferramentas de Ransomware.

1

Isso não pode ser real, me recuso a acreditar que cometeram essa cabacisse kkkkkkk, meu deus do céu. É tipo tu construir tua casa, mas ao inves de usar cadeado, vc usa um fio de nylon pra fechar o portão kkkkkkkkk

1