Um hacker divulgou um volume de 14 GB com informações pessoais de usuários do Nitro PDF. O banco de dados contém nomes, e-mails, senhas, cargos, nomes de empresas e endereços de IP, entre outras informações pertinentes ao sistema dos usuários.
A base foi distribuída gratuitamente para vários canais. Um deles foi a página “Have I Been Pwned”, que permite verificar credenciais, bem como saber se elas foram comprometidas e se necessitam de ajustes de segurança. Ao todo, 77.159.696 registros foram exibidos online.
O Nitro PDF é uma aplicação online que permite criar, editar e assinar documentos em PDF. A desenvolvedora Nitro Software afirma que o programa tem cerca de 10 mil clientes corporativos e aproximadamente 1,8 milhão de usuários licenciados. Além da aplicação em si, a Nitro dispõe de uma plataforma de compartilhamento de arquivos em nuvem.
A exposição dos dados parece pequena quando se considera apenas o nome da aplicação, que não é muito popular entre usuários finais. Vale ressaltar, porém, que ela é usada por empresas como Google, Microsoft, Citibank e outras. Em outubro de 2020, a Nitro relatou “um incidente de baixo impacto na segurança” à Bolsa de Valores da Austrália. Na ocasião, a empresa afirmou que nenhum cliente havia sido afetado.
Segundo o BleepingComputer, uma base com cerca de 70 milhões de registros de usuários e 1 TB de documentos sigilosos havia sido leiloada por um lance mínimo de US$ 80 mil (algo como R$ 436 mil em conversão direta). Importante: a base leiloada não é a mesma que foi divulgada gratuitamente agora.
Desta vez, um hacker que se diz afiliado ao grupo ShinyHunters ofereceu a base em um fórum. O ShinyHunters é um grupo hacker conhecido por invadir sistemas e vender credenciais de acesso e informações de usuários.
A Nitro recomenda que os usuários mudem suas credenciais e utilizem senhas exclusivas para o Nitro PDF. De preferência, elas devem obedecer a critérios de força, combinar letras maiúsculas, minúsculas, números e sinais gráficos, e não ser usadas em outras plataformas.
Fonte: Bleeping Computer