Além da violação: eliminando ruídos para se concentrar em ameaças reais

O caos da manhã de segunda-feira: classificando os alertas “urgentes”

São 9h da manhã de uma segunda-feira. Seu painel de informações sobre ameaças acende. Manchetes inundam seu feed: “O vazamento de 16 bilhões de credenciais choca a Internet!” Isso é uma ameaça crítica ou apenas um ruído? Profissionais, executivos e pesquisadores de segurança cibernética enfrentam essa enxurrada de alertas “urgentes” diariamente, muitas vezes buscando distrações em vez de ameaças reais. O ruído não vem apenas de fóruns clandestinos; pode resultar de campanhas de marketing, descobertas exageradas de pesquisadores ou mídias sociais amplificando alegações não verificadas. Este relatório desvenda o ecossistema que alimenta esse ruído e oferece uma estrutura para priorizar ameaças genuínas.

O que é “ruído”?
O ruído na inteligência de ameaças se refere a dados exagerados ou enganosos relatados erroneamente como novas violações. Os três tipos principais são:

• Violações recicladas: Dados antigos são reembalados como novos, geralmente provenientes de incidentes de anos atrás.
• Dados públicos extraídos: Informações públicas, como o incidente de coleta de dados do LinkedIn em junho de 2021, coletadas em grande escala, violando os termos de serviço, mas não os sistemas.
• Registros reciclados do Infostealer: Coleções de credenciais roubadas de dispositivos infectados por malware, como o vazamento de credenciais de “16 bilhões”, geralmente confundidas com violações corporativas.

Nem todas as violações relatadas são ruídos, algumas são genuínas e exigem ações urgentes. Distinguir esses fatores economiza recursos e tempo para as equipes de segurança.

O ecossistema de desinformação: onde o ruído começa

O ruído geralmente se origina em fóruns clandestinos, mas é amplificado pela mídia sensacionalista, relatórios voltados para o marketing ou pesquisadores que buscam atenção. Compreender esse ecossistema é fundamental para filtrar os sinais do ruído.

O efeito Takedown do fórum
Quando a polícia fecha os principais fóruns clandestinos, como o BreachForums, em maio de 2024, um vácuo de poder se forma. Fóruns rivais competem para atrair usuários deslocados lançando “novos” conjuntos de dados, geralmente violações recicladas oferecidas gratuitamente para aumentar as inscrições. Essa enxurrada de dados antigos cria ruídos que se espalham para além dos fóruns. Em junho de 2025, as autoridades francesas prenderam cinco operadores-chave do BreachForums, incluindo “ShinyHunters” e “IntelBroker”, em ataques coordenados em Paris, Normandia e Reunião. Essas prisões, visando administradores vinculados a vazamentos de dados de alto perfil, interromperam ainda mais as operações do fórum, intensificando a disputa entre plataformas rivais para preencher o vazio.

Fonte: credibilidade e desinformação
Os agentes de ameaças criam credibilidade ao organizar compilações de dados, mas nem todas as fontes são confiáveis. Por exemplo, o fórum chinês da dark web Chang'an é conhecido por reciclar dados antigos e fabricar brechas com nomes de organizações aleatórios, criando um tipo único de ruído. Manchetes sensacionalistas, marketing de fornecedores ou descobertas exageradas de pesquisadores (por exemplo, alegando uma “violação de credenciais de 184 milhões”) amplificam ainda mais esse ruído, muitas vezes sem contexto e alimentando o pânico. Avaliar a credibilidade e a confiabilidade da fonte, seja um fórum, pesquisador ou meio de comunicação, deve ser a primeira pergunta feita para filtrar o ruído.

Decodificando alarmes falsos: seis exemplos do mundo real

Caso 1: O vazamento da “credencial de 16 bilhões”

• Título inicial (junho de 2025): “O maior vazamento de credenciais da história”

• Realidade: O vazamento de 16 bilhões de credenciais, amplamente divulgado em junho de 2025, não é uma nova violação, mas uma lista combinada que agrega registros antigos de ladrões e violações de banco de dados, conforme observado pela BleepingComputer. Análises, inclusive da Hudson Rock, sugerem que o conjunto de dados contém entradas manipuladas ou fabricadas, sem nenhuma evidência que sustente as alegações de que 320 milhões de dispositivos comprometidos são necessários para acumular 16 bilhões de credenciais. O grande volume provavelmente inclui duplicatas significativas, como é comum nessas compilações, com a Cybernews reconhecendo que a sobreposição de registros nos 30 conjuntos de dados torna impossível determinar o número exato de contas exclusivas afetadas. A Bleeping Computer especulou sobre a natureza reciclada sem confirmação definitiva, refletindo a incerteza contínua em identificar o escopo e a origem completos do conjunto de dados.

• Intel Insight: As listas de combinações exageradas exigem uma validação cuidadosa. Algumas credenciais podem ser válidas, mas a ameaça decorre de infecções individuais, não de um comprometimento corporativo. Priorize as verificações de reutilização de senhas em vez do isolamento da rede.

‍

Caso 2: LinkedIn — O “vazamento de 700 milhões de usuários” que não morreria

• Título inicial (2021): “LinkedIn invadido — 700 milhões de usuários expostos”
• Realidade: Sem hackear. Os invasores coletaram dados de perfis públicos usando a API do LinkedIn e rastreadores da web. Os dados incluíam nomes, cargos, e-mails, números de telefone (quando públicos), etc.

‍

• ‍Reaparecimento (2024-25): Os mesmos dados coletados foram republicados em fóruns clandestinos e canais do Telegram, com novas alegações de uma “nova violação”. A mídia e os fornecedores confirmaram a afirmação sem verificar a atualidade da fonte.

‍

• Intel Insight: Trate os lixões ressurgidos com escrutínio. Os dados reciclados geralmente são rotulados novamente para parecerem novos. Crie ferramentas internas que correspondam aos vazamentos conhecidos e evite a fadiga do alerta.

Caso 3: Twitter — O “vazamento de 400 milhões” que foi negado por X

• Título inicial (dezembro de 2022): “Violação no Twitter — 400 milhões de dados de usuários à venda”
• Realidade: O “vazamento de dados de 400 milhões de dados do Twitter” relatado não foi uma violação dos sistemas internos do Twitter, mas um conjunto de dados compilado por meio de uma vulnerabilidade da API, ativa de junho de 2021 a janeiro de 2022, que permitiu que os invasores combinassem números de telefone e endereços de e-mail com IDs de usuário do Twitter. A vulnerabilidade foi explorada por vários agentes de ameaças, incluindo um hacker chamado “Ryushi”, que ofereceu o conjunto de dados por 200 mil dólares em um fórum de crimes cibernéticos. O conjunto de dados continha dados de perfil público, como nomes de usuário, número de seguidores, endereços de e-mail e números de telefone, mas nenhum dado confidencial, como senhas. Após a tentativa inicial de venda, os dados foram divulgados gratuitamente no BreachForums em janeiro de 2023, aumentando os riscos de phishing, doxxing e engenharia social, especialmente para usuários pseudônimos.

• ‍Fallout (2023—2024): O conjunto de dados ressurgiu várias vezes com reivindicações exageradas (até mesmo “1,4 bilhão de usuários” em alguns lixões falsos). Vários agentes de ameaças reempacotaram os mesmos dados com novas tags.

• Intel Insight: Violações falsas ou “repetidas” atrapalham o sinal. As equipes da Intel devem tirar impressões digitais dos despejos anteriores e validar usando HIBP, bancos de dados de exposição internos ou verificações OSINT.

Caso 4: Free.fr — O “vazamento de dados de 19,2 milhões de clientes”

Título inicial (outubro de 2024): “Free.fr violado — 19,2 milhões de registros de clientes à venda”
Realidade: O ISP francês Free.fr confirmou uma violação que afetou 19,2 milhões de contas. O agente de ameaças “drussellx” ofereceu um conjunto de dados de 43,6 GB no BreachForums, incluindo nomes, endereços, e-mails, números de telefone e 5,11 milhões de IBANs, extraídos por meio de uma vulnerabilidade de ferramenta de gerenciamento em 17 de outubro de 2021. Nenhuma senha ou detalhes do cartão foram comprometidos.

Fallout (2024—2025): O conjunto de dados, inicialmente cotado em $175.000, foi um truque para extorquir Free.fr, sem que nenhuma venda ocorresse. Foi republicado em fóruns da dark web e no Telegram com alegações exageradas de “20 milhões de contas” e credenciais falsas adicionadas para aumentar o valor. Os dados reembalados alimentaram phishing e fraudes, corroendo a confiança e levando ao escrutínio do GDPR sobre notificações atrasadas.

‍Intel Insight: Atores com baixa qualificação podem explorar vulnerabilidades simples, criando ruído por meio de dados reempacotados. Monitore fóruns da dark web com o SocRadar, verifique vazamentos com o HIBP e conjuntos de dados de impressões digitais (por exemplo, IBANs) para identificar falsificações.

Caso 5: Boulanger — O “vazamento de 27 milhões de registros de clientes”

Título inicial (setembro de 2024): “Boulanger hackeado — 27 milhões de registros expostos”‍

Realidade: A varejista francesa Boulanger enfrentou um ataque de ransomware, expondo 27,5 milhões de linhas de dados (1 milhão de registros exclusivos) com e-mails, nomes, endereços, números de telefone e geolocalização. O ator de ameaças “horrormar44” vendeu o conjunto de dados JSON de 16 GB por €2.000 no BreachForums. Nenhum dado de pagamento foi comprometido.

‍Fallout (2024—2025): Em abril de 2025, o conjunto de dados vazou gratuitamente no BreachForums, caindo para $2 em créditos no fórum. Repostagens com detalhes de pagamento falsos e alegações de “30 milhões de registros” surgiram, aumentando o escopo da violação. Essas campanhas de phishing alimentaram campanhas de phishing que se faziam passar por promoções da Boulanger, amplificando os riscos de ruído e fraudes.

‍

Intel Insight: Vazamentos de ransomware criam ruído quando compartilhados livremente com dados preenchidos. Imprima dados exclusivos (por exemplo, geolocalização) e use o HIBP para verificar vazamentos. Monitore fóruns da dark web para detectar lixões reembalados.

Caso 6: ICMR — O “vazamento de 850 milhões de registros de cidadãos”

Título inicial (outubro de 2023): “ICMR hackeado — dados de 850 milhões de cidadãos indianos expostos”Realidade: O Conselho Indiano de Pesquisa Médica (ICMR) confirmou uma violação de 81,5 milhões de registros exclusivos por meio de uma API mal configurada. O agente de ameaças “pwn0001” ofereceu um conjunto de dados de 90 GB no BreachForums com nomes, números de Aadhaar, endereços e dados de saúde.

‍

Fallout (2023—2025): Inicialmente vendido por $80.000, o conjunto de dados foi posteriormente compartilhado gratuitamente em fóruns da dark web e no Telegram. Versões reembaladas com dados bancários falsos alegaram “1 bilhão de registros”, aumentando o escopo da violação. Isso alimentou fraudes de phishing e empréstimos, desencadeando ações judiciais sob o DPDPA da Índia.

‍

Intel Insight: APIs inseguras criam violações significativas, amplificadas por dados reempacotados. Use HIBP e impressões digitais (por exemplo, números de Aadhaar) para verificar vazamentos. Monitore fóruns da dark web para rastrear campanhas fraudulentas.

Os custos ocultos: como o ruído prejudica as equipes de segurança

Tempo e recursos desperdiçados
Perseguir falsos positivos gera uma perda significativa de recursos, consumindo até 25% do tempo da equipe de segurança. Para um SOC de médio porte, isso significa que 100 horas por semana são perdidas investigando ameaças que não são ameaças, em vez de se concentrar em perigos ativos, como ransomware ou ataques internos.

Perda de confiança
Alarmes falsos frequentes corroem a confiança da liderança, tornando-a cética em relação a incidentes genuínos. Isso pode atrasar as respostas críticas às ameaças reais.

Prioridades equivocadas
As badaladas “violações”, amplificadas por manchetes sensacionalistas ou relatórios de fornecedores sem contexto, desviam a atenção de ameaças menos sensacionais, mas mais prejudiciais, como Business Email Compromise (BEC), engenharia social ou riscos internos, que geralmente causam maiores danos.

A estrutura de sinal-ruído: um guia prático

O “É real?” Lista de verificação
Para identificar brechas ruidosas, pergunte:

• A fonte é um fórum, pesquisador ou meio de comunicação não comprovado que busca atenção?
• Os dados são gratuitos ou baratos (um sinal de dados antigos)?
• As amostras mostram carimbos de data/hora antigos?
• A empresa nega qualquer intrusão?
• Os dados são uma coleção aleatória de credenciais (combolist) ou um banco de dados limpo?
• O momento está alinhado com a remoção do fórum ou com a campanha de marketing?

Manual de verificação para equipes Intel

1. Verificação da fonte: Avalie a reputação e os motivos do autor da postagem, seja um usuário do fórum, pesquisador ou meio de comunicação. É uma fonte confiável ou uma como Chang'an, conhecida por violações fabricadas?
2. Análise de amostras: verifique a idade, o formato e os marcadores dos dados.
3. Elimine a duplicação e contextualize: Os dados recuperados devem ser desduplicados, verificados e contextualizados em relação aos conjuntos de dados históricos de violações para evitar respostas redundantes.
4. Referência cruzada: valide usando fontes confiáveis, como Have I Been Pwned (HIBP), bancos de dados de exposição internos ou verificações OSINT.
5. Comunique-se com a Nuance: Relatório com pontuações de confiança, por exemplo, “Isso se assemelha a uma violação reciclada; o risco de comprometimento ativo é baixo”.

Nossa plataforma externa de monitoramento de ameaças, Xvigília, faz referência cruzada de reivindicações de violação com pontos de dados históricos, reduzindo os falsos positivos. Isso aprimora o foco nas ameaças de alta prioridade.

Conclusão: Do caos à clareza

O mundo da cibersegurança enfrenta um problema de contexto, não apenas um problema de violação de dados. Ruídos de fóruns clandestinos, afirmações exageradas de pesquisadores ou reportagens sensacionalistas da mídia, como as de fóruns como Chang'an, alimentam o pânico e desperdiçam recursos. Ao examinar a credibilidade da fonte, eliminar a duplicação de dados e usar sistemas de filtragem robustos, as equipes de segurança podem se concentrar nas ameaças genuínas. Para os CEOs, isso garante que os recursos sejam alocados para prioridades estratégicas, não para alarmes falsos. Tendências emergentes, como dados falsos de violação gerados por IA, podem amplificar o ruído, tornando esses sistemas ainda mais críticos. Os jornalistas podem ajudar verificando as reivindicações com fontes primárias, reduzindo o pânico público.

O que isso significa para você

• Equipes de segurança: Use a lista de verificação e o manual para priorizar ameaças reais.
• Executivos: exija contexto antes de agir com base nos alertas de violação para otimizar os recursos.
• Jornalistas e pesquisadores: verifique as fontes para evitar amplificar o ruído.

Glossário

• Listas de combinação: Credenciais roubadas de dispositivos infectados por malware, geralmente relatadas erroneamente como violações corporativas.
• Raspagem: Coletar dados de sites públicos, deturpados como uma violação.
• Fórum Drama: Rivalidades entre usuários do fórum, levando a vazamentos de dados retaliatórios.
• Credibilidade da fonte: A confiabilidade de um fórum, pesquisador ou meio de comunicação, fundamental para avaliar a legitimidade da violação.

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia