O Deezer é um popular aplicativo de streaming de músicas com milhões de usuários em todo o mundo. Em 2019, foi vítima de um vazamento de dados ocorrido em um de seus provedores de serviços terceirizados.
De acordo com o site RestorePrivacy que foi o primeiro a noticiar este vazamento no início de dezembro de 2022, a empresa Deezer confirmou o vazamento e que estaria trabalhando com as autoridades francesas.
Um dump com 60 GB de informações roubadas
No dia 6 de novembro de 2022 um hacker postou em um fórum que teria um dump de cerca de 60GB de informações de usuários do serviço, disponíveis para venda, que incluem:
- Primeiro e últimos nomes
- Data de aniversário
- Endereços de e-mail
- Endereços IP
- Gênero
- Dados de localização (Cidade e País)
- Data de cadastro
- ID de usuários
Brasil é o segundo país mais afetado pelo vazamento
O Brasil está em segundo lugar entre os países mais afetados, com mais de 37 milhões de usuários com seus dados vazados:
- França: 46.2 milhões de usuários
- Brasil: 37.1 milhões de usuários
- Grã-Betanha: 15.3 milhões de usuários
- Alemanha: 14.1 milhões de usuários
- Mexico: 11.1 milhões de usuários
- Colômbia: 9.0 milhões de usuários
- Turquia: 6.9 milhões de usuários
- Estados Unidos: 6.4 milhões de usuários
- Itália: 5.0 milhões de usuários
- Guatemala: 4.4 milhões de usuários
Hacker libera amostra
Na postagem feita pelo hacker no fórum, liberou um arquivo com amostras de cerca de 5 milhões de registros.
Hoje estou vendendo as informações de mais de 200 milhões de usuários do Deezer de 2019 (especificamente antes de setembro/outubro de 2019). Inclui CSV dos usuários, sendo um arquivo de 60GB com 257.829.454 de registros, sendo destes, 228 milhões de e-mails não anonimizados. Um CSV contendo sessões registradas de usuários (endereço IP e dispositivo). Perfis CSVs e uma pasta final contendo cerca de 106 CSVs. A fonte ainda não está clara, mas parece que a Deezer contratou uma empresa terceirizada de análise de dados para analisar seus usuários. Vou esperar que a Deezer confirme de onde veio isso…
Em novembro de 2022 a Deezer publicou um texto em seu site sobre o ocorrido logo após a postagem do hacker.
A Deezer afirma que os dados vazados não são confidenciais e que nenhuma senha ou detalhes de pagamentos foram expostos.
Não acredito que informações sensíveis não tenham sido expostas, até porque nomes e endereços de e-mail podem ser utilizados em ataques de engenharia social, campanhas de phishing, etc.
Analisando a amostra dos dados vazados
O site RestorePrivacy obteve amostras dos dados para analisar e pode confirmar que todos eles parecem autênticos e correspondem às informações publicamente disponíveis dos usuários afetados do Deezer.
Confira abaixo um print da mostra analisado pelo site:
Recomendações de segurança
Usuários do Deezer são orientados a resetar suas senhas e também senhas de quaisquer outros serviços de Internet. Deve estar se perguntando o motivo disso. O tio responde: caso utilize a mesma senha do Deezer em redes sociais e outros sites da Internet, poderá ocorrer um ataque conhecido como Credential Stuffing ou Ataque de Preenchimento de Credenciais. É um efeito cascata que faz com que os atacantes possam utilizar a mesma senha para conseguir acesso a outros sites.
Para finalizar…
Dia 2 de janeiro de 2023 recebi um e-mail do serviço Have I Been Pwned me avisando que meu e-mail foi encontrado entre os vazamento do Deezer ocorrido em 2019.
Consolo: Na época não paguei pelo serviço, apenas me cadastrei na plataforma… Mas sabe como que é né…
Créditos:
https://grahamcluley.com/data-of-over-200-million-deezer-users-stolen-leaks-on-hacking-forum/
https://restoreprivacy.com/music-service-deezer-data-breach/
Crédito da imagem usada na capa do post:
https://www.b9.com.br/107739/deezer-anuncia-novo-logo-e-atualizacao-no-aplicativo/
Como está se sentindo?
