A Cifas, uma organização sem fins lucrativos britânica dedicada ao combate à fraude, acaba de publicar um estudo que deve preocupar qualquer pessoa que dirija uma empresa ou que seja cliente de uma: um em cada oito trabalhadores de grandes empresas já vendeu as credenciais de acesso da sua empresa ou conhece alguém que o fez.
A Internet está repleta de credenciais comprometidas que os funcionários utilizam para aceder aos sistemas da empresa. A empresa de inteligência contra ameaças KELA registou quase 2,9 mil milhões de credenciais comprometidas a nível mundial em 2025. A maioria destas provém de ataques de phishing e de programas de roubo de dados. Mas, graças aos funcionários que querem ganhar dinheiro fácil, os cibercriminosos podem simplesmente fazer-lhes uma proposta.
Os iniciados que ninguém está a observar
A Cifas entrevistou 2 000 funcionários de empresas com pelo menos 1 000 colaboradores. Destes, 13 % admitiram ter vendido as suas credenciais de acesso corporativo nos últimos 12 meses, ou conhecer alguém que o tivesse feito. Surpreendentemente, como refere o relatório, os vendedores fizeram-no «muitas vezes na convicção de que era inofensivo».
Notícia de última hora: vender as credenciais da sua conta não é inofensivo. Os criminosos querem-nas para se apropriarem da conta e a utilizarem para fins ilícitos. De acordo com a Verizon, os casos de apropriação de contas nos EUA aumentaram 6 %, atingindo mais de 78 000 no ano passado.
Muitas das contas pirateadas são contas pessoais de serviços que vão desde as redes sociais a sites de streaming online e, claro, contas bancárias. Mas muitas outras são contas de sistemas empresariais, como o Microsoft 365, o Salesforce e outras plataformas que contêm dados confidenciais da empresa. Essas informações confidenciais são bens valiosos para os criminosos, que podem depois comercializá-las no mercado aberto.
É mais provável que o teu chefe consiga vender do que tu
Idealmente, é aqui que deve entrar em jogo uma técnica comum denominada «acesso com privilégios mínimos».
A ideia é que uma conta corporativa online só tenha acesso ao que realmente precisa. Assim, o Jim, da cantina, deve ter acesso ao sistema de encomendas de comida, mas não a toda a base de dados de clientes. Dessa forma, mesmo que a conta do Jim seja comprometida, o pior que os atacantes poderiam fazer é privar-vos de salsichas amanhã.
O problema é que, de acordo com o relatório, os quadros superiores se sentem ainda mais à vontade para vender as credenciais das suas contas do que os funcionários de nível inferior. Trinta e dois por cento dos gestores seniores consideram isso justificável, tal como 36% dos diretores, 43% dos executivos de topo e, surpreendentemente, quatro em cada cinco empresários. As suas funções implicam que, mesmo com acesso com o mínimo de privilégios, as suas contas ainda podem abrir caminho para funções e dados sensíveis do sistema.
Isto não é um problema exclusivo do Reino Unido
A investigação da Cifas refere-se especificamente ao Reino Unido, mas é provável que não se limite a isso. Temos assistido a casos de funcionários de várias empresas a venderem acesso a contas ou registos da empresa. Por exemplo, a empresa de criptomoedas Coinbase revelou no ano passado que funcionários de uma empresa de subcontratação sediada no Bangladesh venderam registos de clientes a hackers.
As credenciais comprometidas são um fenómeno generalizado. A nossa própria investigação revelou que, num período de apenas 30 dias, 111 empresas da lista Fortune 500 sofreram fugas de credenciais dos seus funcionários. A longo prazo, 363 dessas empresas (ou seja, 73 %) perderam o controlo de, pelo menos, uma credencial de um funcionário.
O facto de os funcionários venderem as suas credenciais de acesso não é apenas prejudicial para as empresas que os empregam. É também prejudicial para os clientes.
Quando a palavra-passe de um administrador é colocada à venda, é provável que um ficheiro de clientes não esteja muito longe, embora provavelmente não seja o próprio administrador a vendê-lo. Malwarebytes que 91 % das empresas da Fortune 500 já sofreram fugas de credenciais dos seus clientes, e as contas pirateadas são uma excelente forma de aceder a essas credenciais.
Portanto, o risco interno não é apenas uma questão empresarial. É também uma questão que diz respeito aos consumidores. Isso faz com que estejamos menos dispostos a fornecer os nossos dados pessoais a grandes empresas sem questionar por que razão precisam deles.
O seu nome, morada e número de telefone provavelmente já estão à venda.
As empresas de comercialização de dados recolhem e vendem os seus dados pessoais a quem estiver disposto a pagar.Personal Data Remover Malwarebytes Personal Data Remover e elimina as suas informações, mantendo-se em alerta para garantir que tudo permanece assim.
