Uma falha de segurança alarmante tem colocado em risco a integridade digital de algumas das maiores corporações do mundo e de órgãos governamentais globais. Pesquisadores da empresa de segurança GitGuardian descobriram que chaves de acesso privadas, essenciais para a proteção de dados sensíveis como senhas e informações de cartão de crédito, foram acidentalmente vazadas para a internet.
Chaves Privadas Expostas: Um Convite Aberto a Hackers
As chaves privadas são um componente integral dos certificados TLS (Transport Layer Security), a tecnologia que encripta e protege a comunicação em sites. Ao contrário das chaves públicas, que podem ser compartilhadas, as chaves privadas devem permanecer em segredo absoluto. Seu vazamento compromete toda a encriptação de um site, permitindo que cibercriminosos imitem completamente as páginas (um ataque conhecido como spoofing) e interceptem dados confidenciais dos usuários.
Entre as vítimas dessa brecha estão empresas listadas na Fortune 500 – as mais lucrativas do mundo – e diversos sites governamentais. A GitGuardian tem monitorado esse problema desde 2021, rastreando aproximadamente um milhão de chaves privadas publicadas inadvertidamente em plataformas como GitHub e DockerHub. Um cruzamento de dados com a base web do Google revelou que esses vazamentos estavam ligados a 140.000 certificados.
A Escala da Vulnerabilidade Persistente
A situação é ainda mais preocupante porque, até setembro de 2025, 2.622 desses certificados ainda permaneciam válidos e ativos. Desse total, mais de 900 pertencem a companhias da Fortune 500, serviços de saúde e agências governamentais. Com as chaves em mãos, hackers podem não apenas roubar dados, mas também lançar ataques sofisticados de phishing, enganando usuários ao simular sites legítimos.
Apesar da gravidade, a pesquisa da GitGuardian aponta para uma resposta lenta e, por vezes, insuficiente das organizações. Os pesquisadores relataram dificuldades em identificar os sites afetados, com apenas 16% dos 2.600 certificados válidos indicando a qual organização estavam vinculados. Mesmo com o uso de inteligência artificial e técnicas de raspagem de dados, 1.300 certificados permaneceram com a origem desconhecida, deixando esses sites permanentemente vulneráveis.
Inação e Soluções Propostas
A GitGuardian enviou mais de 4.300 e-mails detalhando a falha para mais de 600 organizações, mas apenas 9% delas responderam. Em alguns casos, programas de recompensa por bugs chegaram a questionar se o vazamento de chaves privadas “realmente representa um problema de segurança”, evidenciando uma falta de compreensão da gravidade da situação.
A equipe da GitGuardian conseguiu remediar 97% dos casos nos quais houve contato, muitas vezes precisando acionar as autoridades emissoras dos certificados. Como medida preventiva para o futuro, a empresa sugere que a indústria adote o uso de chaves únicas que rotacionam automaticamente. Essa prática garantiria que, mesmo em caso de um novo vazamento, o potencial de dano seria significativamente limitado, protegendo melhor a segurança digital global.
Fonte: canaltech.com.br