A Cifas, organização sem fins lucrativos britânica dedicada ao combate à fraude, acaba de publicar uma pesquisa que deve preocupar qualquer pessoa que administre uma empresa ou faça compras em uma: um em cada oito funcionários de grandes empresas já vendeu suas credenciais de acesso à empresa ou conhece alguém que o fez.
A internet está repleta de credenciais comprometidas que os funcionários utilizam para acessar os sistemas da empresa. A empresa de inteligência contra ameaças KELA rastreou quase 2,9 bilhões de credenciais comprometidas em todo o mundo em 2025. A maioria delas provém de ataques de phishing e programas de roubo de dados. Mas, graças aos funcionários que querem ganhar dinheiro fácil, os cibercriminosos podem simplesmente fazer uma oferta a essas pessoas.
Os bastidores que ninguém está observando
A Cifas entrevistou 2.000 funcionários de empresas com pelo menos 1.000 colaboradores. Desses, 13% admitiram ter vendido suas credenciais de acesso corporativo nos últimos 12 meses, ou conhecer alguém que o fez. Surpreendentemente, como afirma o relatório, os vendedores agiram assim “muitas vezes acreditando que isso fosse inofensivo”.
Notícia de última hora: vender as credenciais da sua conta não é inofensivo. Os criminosos querem essas credenciais para poderem assumir o controle da conta e fazer coisas ilícitas com ela. Nos EUA, os casos de invasão de contas aumentaram 6%, chegando a mais de 78.000 no ano passado, segundo a Verizon.
Muitas contas invadidas são contas pessoais de serviços que vão desde redes sociais até sites de streaming online e, é claro, contas bancárias. Mas muitas outras são contas de sistemas empresariais, como o Microsoft 365, o Salesforce e outras plataformas que armazenam dados confidenciais da empresa. Essas informações confidenciais são bens valiosos para os criminosos, que podem então comercializá-las no mercado aberto.
É mais provável que seu chefe consiga vender do que você
Idealmente, é aqui que uma técnica comum chamada “acesso com privilégios mínimos” deveria ser aplicada.
A ideia é que uma conta corporativa online tenha acesso apenas ao que é necessário. Assim, o Jim, da cantina, deve ter acesso ao sistema de pedidos de comida, mas não a toda a base de dados de clientes. Dessa forma, mesmo que a conta do Jim seja comprometida, o pior que os invasores poderiam fazer é privá-lo de salsichas amanhã.
O problema é que, segundo o relatório, os altos executivos se sentem ainda mais à vontade para vender as credenciais de suas contas do que os funcionários de nível inferior. Trinta e dois por cento dos gerentes seniores consideram isso justificável, assim como 36% dos diretores, 43% dos executivos de alto escalão e, surpreendentemente, quatro em cada cinco empresários. Devido às funções que desempenham, mesmo com acesso de privilégios mínimos, suas contas ainda podem abrir caminho para funções e dados confidenciais do sistema.
Isso não é um problema exclusivo do Reino Unido
A pesquisa da Cifas refere-se especificamente ao Reino Unido, mas é provável que a situação não se limite a isso. Temos visto funcionários de várias empresas vendendo acesso a contas ou registros da empresa. Por exemplo, a empresa de criptomoedas Coinbase revelou no ano passado que funcionários de uma empresa de terceirização sediada em Bangladesh venderam registros de clientes a hackers.
O vazamento de credenciais é um problema generalizado. Nossa própria pesquisa revelou que, em um único período de 30 dias, 111 empresas da Fortune 500 tiveram credenciais de funcionários vazadas. A longo prazo, 363 dessas empresas (ou seja, 73%) perderam o controle de pelo menos uma credencial de funcionário.
O fato de os funcionários venderem suas credenciais de acesso não é ruim apenas para as empresas que os empregam. Também é ruim para os clientes.
Quando a senha de um diretor é colocada à venda, é provável que os dados de um cliente não demorem a aparecer, embora provavelmente não seja o próprio diretor quem os esteja vendendo. Malwarebytes que 91% das empresas da Fortune 500 já tiveram as credenciais de seus clientes vazadas, e contas invadidas são uma excelente maneira de obter acesso a elas.
Portanto, o risco interno não é apenas uma questão corporativa. É também uma questão que diz respeito ao consumidor. Isso nos torna menos propensos a fornecer nossas informações pessoais a grandes empresas sem questionar por que elas precisam delas.
Seu nome, endereço e número de telefone provavelmente já estão à venda.
Os corretores de dados coletam e vendem seus dados pessoais para qualquer pessoa disposta a pagar.Personal Data Remover Malwarebytes Personal Data Remover osPersonal Data Remover e remove suas informações, mantendo-se em alerta para garantir que tudo permaneça assim.
