De senhas a assaltos a bancos, podemos encontrar tudo no Google


O mecanismo de busca Google possui vários truques e filtros que podem ser usados ​​para encontrar quase qualquer tipo de conteúdo. Você pode pedir para mostrar apenas arquivos de texto nos resultados, por exemplo, ou filtrar por datas a qualquer momento.

Há poucas horas o checkpoint publicou uma notícia na qual indicava como um grupo de hackers conseguiu roubar senhas e publicá-las na Internet de forma que o Google pudesse indexá-las, ficando assim à disposição de qualquer pessoa. No texto eles indicam o passo a passo utilizado no hack, com a técnica explicada em detalhes.

No artigo, também indicam como qualquer pessoa pode acessar milhares de senhas roubadas por meio de uma simples pesquisa no Google. Nesse caso, foi uma campanha de phishing que começou em agosto passado, enviando e-mails que se apresentavam como notificações de digitalização da Xerox. Os dados roubados – as credenciais de mais de mil funcionários da empresa – foram divulgados por engano em um site público, então o Google os indexou sem problemas.

E é muito fácil encontrar esse tipo de conteúdo no Google. Basta colocar filetype: txt senhas para acessar documentos que podem conter conteúdo privado e foram publicados por engano, embora geralmente os primeiros resultados não mostrem nada muito confidencial. Com essa técnica é possível, por exemplo, encontrar um guia no TXT de How to hack banks, arquivo que foi publicado em 2019 em um site de notícias, certamente de forma furtiva. O arquivo em questão ainda está disponível, sendo inclusive um bom guia para que os responsáveis ​​pela segurança dos pequenos bancos se protejam de forma adequada.

Muitos hackers estão acostumados a realizar esse tipo de tarefa, comentando o passo a passo para realizar uma determinada ação e postá-la em um site que não é deles, para que outras pessoas possam utilizar o material.

É um problema difícil de resolver, pois o Google só indexa o que os ” webmasters ” indicam. O Google não pode e não deve revisar o conteúdo de tudo o que está indexado lá, embora um sistema de IA poderia facilmente notificar alguém quando houvesse um documento com senhas publicado em seu site.