e eu confesso que essa aula aqui não estava planejada mas antes de começar o Antônio aqui aar pessoas tá eu quero te mostrar algo que hoje na minha opinião é um dos maiores desafios aí em saber segurança tá eu acho que a todo instante né você eu estamos cada vez mais usando sites aplicativos né hoje por exemplo fora minhas redes sociais toda vez que eu vou pagar o boleto do condomínio eu entro no sistema do condomínio muitas vezes o restaurante que eu gosto ele saiu do iFood criou o próprio sistema de entrega eu vou lá e crio uma conta nele Pensa aí em Quantos sistemas sites você tem conta e convenhamos né esses sistemas e sites que você tem vários locais né nem todos possuem um time de segurança nem todos passaram por um ptest eles são cheio de falhas onde eu pago o condomínio é cheio de Fal cheio de falha né o Ed de uma escola é cheio de falha o sistema da academia é cheio de falha foi um Web Designer que fez não tinha um time de segurança e o grande problema é que quando algum desses sites vaza né a senha de pessoas de usuários são vazadas também e hoje as pessoas talvez você eu até pouco tempo para trás aí em alguns sites usava a mesma senha no da academia era a mesma senha do condomínio e por ventura Talvez seja a mesma senha do Facebook do banco gente o grande problema e desafio hoje é que esses outros sites a todo instante são hackeados e os dados hackeados as senhas credenciais cadastros estão aí vasados em serviços em base de dados que vendem a consulta vazamentos perceba que agora vou te mostrar como que você pode pesquisar o seu e-mail e ver em sites que já foram hackeados né que seu e-mail estava lá e vou te mostrar também como consultar sua senha daquele vazamento que louco isso né Pois é isso é um grande problema hoje um problemão porque executivo e funcionários colaboradores usam e-mails corporativos e outros serviços são hackeados as pessoas não tem um comportamento de mudar de senha sabe alterar o login alterar senha ou usar uma senha única em cada serviço e cara um efeito dominal se você por exemplo não mudou sua senha você usava no Linkedin nos últimos se meses sua senha tá vazada a sua senha da Playstation se você não mudou nos últimos 1 ano e 8 meses acredito tá vazada da Steam Enfim deixa eu te mostrar como que você pode consultar vazamento de dados Olha só para começar Então esse módulo 4ro estou me intrometendo aqui porque eu quero só te mostrar um pouquinho sobre dados vazados tá como consultar Até porque não sei se você lembra mas em uma aula no começo do treinamento eu te mostrei né o valor da informação para pessoas para empresas e naquela aula eu te mostrei notícias aonde o governo brasileiro foi vazado aonde empresa foi hackeada te mostrei aqui dados de brasileiros notícia que 223 milhões de dados foram vazados né empresa hackeada como eu falei aqui sistema senha pessoas e a questão é esses dados param em algum lugar você pode consultar eles consultar esse vazamento Ok isso que eu vou te mostrar agora então toda notícia de vazamento que tem de toda empresa de todo o site descomplica da startup do banco da rede social esse vazamento vai para algum lugar criminosos ganham muito dinheiro vendendo esse vazamento eu vou te mostrar como encontrar ele tá seguinte o grande problema aqui tá são dois na verdade primeiro que o vazamento em massa ele possibilita né e hackers tantos éticos como não éticos Black Grey White Hat também permite que eles Consigam criar identificar padrões V dar um exemplo quando se tem um mega vazamento de 200 milhões de cadastros ou então de e 1 milhão de contas tem a senha vazada também essas senhas possuem padrões isso gera uma Word list uma lista de senhas usadas por pessoas né então quando você tem um grande conjunto de dados informação você tem inteligência também ou seja quando se pega um grande Universo de vazamentos né terabyte de vazamentos de senhas você pode criar uma lista com as 10. 000 senhas mais usadas por pessoas e se você pegar essa lista e aplicar ela num ataque de força bruta para descobrir a cena de alguém na força mesmo né Como você vai aprender em breve no treinamento tem mais chances de acertar Então beleza o vazamento em massa tudo que você vê vazado né Essas notícias ele possibilita padrões para teste de invasão ou para invadir realmente um criminoso ele possibilita fazer fraudes roubo de identidade vender isso golpes né porque tem cadastro de pessoas só que o grande problema tá o desafio que eu trouxe para vocês nessa aula aqui é quando se tem identificadores que parada que é essa né é quando você tem um e-mail um nome completo um nome de usuário um CPF um IP e você pega aquele vazamento gigante e a nível Global né E você busca aquele identificador você busca o e-mail de alguém por exemplo um e-mail antigo meu então aquele vazamento de milhões de dados quando você tem um identificador você consulta nele com identificador ele te retorna ó Deste e-mail aqui tenho todos esses vazamentos senhas cadastros nome começa a ficar perigoso né então durante um Pain test durante um ataque hacker durante uma invasão a gente consegue pegar identificadores do nosso alvo e buscar vazamentos a nível Global né em vários serviços base de dados buscar a ocorrência daquele identificador por exemplo assim eu posso pegar a sua senha se eu sei o seu e-mail Será que algum site algum vazamento desde o início de mapeamento de vazamentos tinha seu e-mail lá então quando se tem identificadores e pesquisa isso tá em base de vazamento é quando a coisa começa a ficar um pouco perigosa tá vou te mostrar na prática Fica tranquilo vamos avançar aqui então olha só onde consultar um vazamento onde que você pode ir para pesquisar seu e-mail seu cliente a sua empresa né foi vazada seguinte você pode fazer isso diretamente no Google consultando fazendo buscas no Google tá então tem exemplos aqui de dor de buscas essa dork aqui ela busca em sites de paste né sites onde compartilh um texto código por exemplo no site do paste bein ou do paste Org coisas que no texto possui e-mail password ou senha se eu botar aqui no Google tá vai aparecer aí vários documentos e possuem aí sem as vasadas Olha só alguém fo compartilhar uma uma informação aqui não sab que você qu indexado no Google tá então tem e-mail senha e-mail senha aqui também e-mail mais senha é aprovadas Live não sei e também e-mails e senhas ou seja estou filtrando vazamentos em ses de compartilhamento de texto de pastes poderia tá aqui da forma genérica eu poderia filtrar um identificador Digamos que eu não quero encontrar eu quero encontrar a palavra com Olha só Luciano @terra Estou trazendo aqui agora pra jogada um identificador Digamos que vou fazer um p Test no terra né encontrar senha de um funcionário usuário eu começo agora a encontrar aqui ó Luciano Terra senha IP Luciano senha IP Esse é o problema tá pessoal de identificadores poderia encontrar talvez aqui do banco e Itaú com. br Ainda bem que não tem muita coisa aqui tá mas tem algumas informações aí eu acho que não éesse o e-mail do Itaú tá acho que é com só ou banco enfim perceba que a gente começa a inserir né identificadores outra possibilidade também é eu encontrar documentos doc que dentro possui senha e também possui e-mail @gmail Hotmail yahu posso pegar essa dork também e pesquisar no Google aqui para encontrar né calma aí para encontrar vazamentos e cara vou encontrar muita coisa vazada aqui tá muito doc eu posso fazer o download posso também pegar aqui e filtrar a palavra terra.
com e vou ter aí e-mails né terra que on gente tem senha também e mais informações posso buscar vazamentos em doc usando a palavra-chave uma uma sequência de texto posso também buscar arquivos né que pode ter um vazamento aí de uma chave da Amazon da WS Deixa eu te mostrar aqui então olha só essa dor aquela pesquisa no Google tá é conteúdos né tipo de arquivo env e possuem dentro dele Secret Key possui api possui a palavra password meil password eu vou ter aí vários vazamentos tá de credenciais da WS porém perceba tá gente eu quero só te mostrar que no Google você consegue consultar vazamentos também é uma forma aí de consultar você pode por exemplo entre aspas duplas aqui inserir o identificador identificador pode ser um CPF pode ser um e-mail pode ser um nome completo deixa eu pegar o nome de alguém aqui por exemplo Bruno Soares eh da Silva entre aspas duplas eu vou ter resultados ó dessa sequência exata de nome assim pode ser um e-mail como eu falei PR vocês posso botar aqui meu e-mail de contato né Será que vai ter alguma página que vaza aí meu e-mail Olha só nesse site aqui emg lugar láa escrito meu e-mail Ou seja você pode consultar vazamentos no Google porém vamos avanar aqui vai ficar um pouco mais interessante ais aqui agora tá quando se fala em consultar dados vazados lembra aquele vazamento do governo é 200 milhões de brasileiros vazamento da vacina vazamento do IBGE esses dados também podem ser consultados tá E hoje no Brasil a melhor forma de você consultar vazamentos de cadastro de pessoas físicas e jurídicas também é usando painéis clandestinos existe hoje um mercado gigante de pessoas que detém esse vazamento e vendem a consulta ao vazamento Olha só vou abrir aqui alguns painéis tá tem sites e canais do telegram vou começar aqui abrindo os sites deixei para você várias opções tá algumas são até por partes gratuitas ali outras não eh como eu falei são vários painéis aqui só que o principal Tá Mais Famoso hoje é o i. org deixa eu abr ele aqui esse aqui é o principal ó vou consultar se eu não me engano eu tenho conta já deixa eu ver é tô logado aqui já Ele custa R 20 tá assinatura só que dentro desse painel aqui pessoal não é só os meus dados tá os seus dados também tudo sobre você o seu e a partir de um CPF Deixa eu te mostrar algum exemplo prático aqui eu vou filtrar um nome aqui pera aí eu vou filtrar aqui por exemplo Bruno Santos Silva tá vou dar um enter bem genérico tá e ele vai me trazer todos os cadastros aí de Bruno Santos Silva tem muita gente né E vai trazer nome CPF Nascimento só pegar algum CPF de exemplo aqui por exemplo esse aqui quando eu clico o seu cadastro também da mesma forma tá vai trazer tudo sobre você nome pai mãe telefones e endereços renda todo chips cadastrado no seu nome endereço que você morou eh seus e-mails escolaridade trabalho assinatura de TV a cabo plano de internet Enfim tudo sobre a pessoa tá E aqui é mais atualizado que o cadastro da polícia da consulta Estadual Inclusive eu já trabalhei com alguns policiais em alguns treinamentos de investigação e eles falaram cara eu uso primeiro um painel clandestino uma inteligência ali porque é mais atualizado que o sistema do Estado olha que louco louco se você tem uma placa de um carro você busca tudo sobre aquele carro chassi Ravan proprietário multas se você tem o número de telefone devido ao vazamento de operadoras aí e consulta também você põe o telefone aqui e traz tudo sobre o responsável daquele telefone se você tem uma CNH vai trazer tudo sobre a cng e quer consultar se alguém tirou né tomou vacina para covid ou não você consulta aqui o vazamento que teve lá das vacinas olha que louco CP e pontuação do discor quando o Serasa vazou Serasa foi vazado tem aqui a consulta ao vazamento do Serasa quero encontrar Gente o que você quiser tá inclusive temos mais módulos aqui em cima são módulos mais Premium onde você paga R 4 às vezes para fazer uma consulta específica você pode consultar o radar em tempo real sabe quando um carro passa no radar você consulta aqui o vazamento aí da polícia do você consulta aqui os radares aí em tempo real olha que louco então por exemplo aqui tá eu vi um carro para vender na LX aqui uma placa tá exposta ó essa placa ten todos os dados sobre esse carro né o proprietário CF tudo isso aqui gera um outro identificador que é um CF né um outro identificação de uma pessoa isso pode agora avanar para uma outra parte da investigação de vazamento de dados Olha só com o CF eu consigo pegar mais dados né de uma pessoa e vou chegar em telefones cadastros e chegar no e-mail enfim só quero te mostrar que quando se tem tá o identificador quando se vai investigar alguém a gente consegue consultar todos vazamentos de dados do governo brasileiro de ponta a ponta desde a polícia desde o Detran des da do estado Federal Receita Federal tudo pode ser consultado até a parte do SUS também o histórico médico cadastro consultas inclusive tá a gente consegue hoje até pegar registro de imagem de quando você tira a foto atual da cng do documento Sabe tem um módulo aqui ele pegou o vazamento também dessa parte de registros de imagem é atualização da imagem lá não sei aonde que está às vezes som algum módulo quando o vazamento ele é bloqueado mas não está disponível aqui agora mas tem um módulo que aparece aqui que é para consultar a imagem atual da C ou assinatura de alguém assinatura digital aí às vezes liberado esse módulo aqui você pode também consultado de forma gratuita vazamentos em canais do telegram que compartilham vazamentos dados de cadastro aí do governo de brasileiros tá tem alguns canais aqui para você então por dentro tá aqui é o boot do ifind tem uma consulta por dia gratuita temos aqui também um outro boot tá do puxadas grátis do vcal inclusive é uma galera que vende também nota falsa de dinheiro cara é uma loucura essee canal aqui mas eles TM integrado um sistema para fazer consulta de forma gratuita olha só é uma galera aqui 119. 000 membros né fazendo consultas sobre você sobre mim e os nossos dados aqui vazados aqui no telegram tá se eu quiser consultar eu dou um barra e menu de comandos ó posso consultar deixa eu ver ó barra CPF Puxa um CPF você botar aqui barra CPF e digitar um CPF ele vai puxar os dados aí ó esse cara consultou o CF aqui de além pegou os dados de alguém aqui tá então gente no Brasil nossos dados estão vazados e nesse módulo de hack pessoas faz muito sentido você saber disso inclusive saber on encontrar dados vazados de pessoas tá agora vamos entrar um pouquinho mais vazamento de dados pensando assim no hack olha só já te mostrei Então como você pode pesquisar no Google vazamentos te mostrei também como que você pode consultar vazamentos do governo dados cadastrais de brasileiros e agora eu quero te mostrar o que na verdade é o grande desafio da Cyber segurança são sites hackeados e credenciais Senas compartilhadas Olha só existe um projeto muito legal que é o have seria eu fui hackeado é um site gratuito tá onde você pode abrir ele e digitar o seu e-mail aqui qualquer e-mail Tá vou botar por exemplo brunofabil aqui foi vazado Ou seja a senha né alguma senha a trelada a esse meil já foi comprometida já foi vazada Talvez o sistema da academia foi hackeado e eu tinha meu e-mail lá com uma senha essa senha tá vazada E agora se essa senha eu uso em outro serviço cara olha o efeito dominal disso Olha o grande problema né então durante um Pain test hoje você também consulta tá essa parte de vazamentos de colaboradores de funcionários porém até aqui tudo bem né Você viu que ele avisa assim Este e-mail foi vazado como consultar esse vazamento como ver a senha que foi vazado vou te mostrar aqui agora legal o r te mostra se foi vazado ou não agora pessoal temos outros sites que vendem o vazamento a senha esses sites são o mais famoso tá é o.
com inclusive é o site que eu usei lá no jornal da quando eu descobri a senha do repóter ao vivo tá eu botei o e-mail dele lá e apareceu as senhas dele ele falou cara é minha senha mesmo então the. com esse site custa não lembro agora acho que R 20 também tá ou R 30 nesse site você insere qualquer e-mail aqui eu já T logado nele tá pessoal na minha conta já uma conta paga D um enter e diferente né do ele não só fala ele mostra o vazamento e se você clicar ele fala senha vazada e eu usava essa senha aqui tá is aqui era op Essa aqui era minha senha aqui era meu telefone tá um tempo atrás muito tempo atrás 968 9643 e enfim aqui ó o paton vazou aquele sistema para aquele serviço para Patrocinar YouTube né patreon ele foi hackeado já e a minha senha ela tava criptografada ao menos tá ó não foi em texto puro né no vazamento a minha credencial tava criptografada porém pode se quebrar essa criptografia né Tem esse pto também só que olha só Digamos que fosse um e-mail que eu qu quisesse ter Anonimato lá no P Ele trouxe meu nome de cadastro Bruno Fraga somente com com meu e-mail aqui e tem mais sites que foi ó no canva. com é um site de design canva.
com vazado também é pessoal parada é louca tá e se eu botar aqui por exemplo eh ita. com. br eu vou começar a consultar todos os vazamentos referentes a esse ao identificador Itaú aqui Alguém criou uma conta fake em algum lugar eu acho né espero eu começo a Navegar aqui ó começo a ver vazamentos que possuem né o e-mail do Itaú isso aqui Quanto quantos tem 4000 713 cara então se eu ficar clicando aqui eu vou encontrar muita coisa aqui tá ó Joan Gimenes u senha JM rce Natália Aldo pouza @aldo 12 10 Natália 17 esse aqui vazou no Linkedin ó thas Chico vazado no L LinkedIn e a senha tá criptografada no Linkedin ao menos deixou criptografado aí senha né e Temos vários sites aí que vai ser vai aparecer várias senhas S gente vários vazamentos envolvendo o domínio @u de vários sites serviços ó João 41 e criptografada também aqui a gente começa a Navegar aí e descobrir senhas beleza uma coisa legal tá que esse site aqui ó e ver esse site aqui reg Tron web reg tronweb pcom.
br olha que louco isso aqui é algum site de evento algum congresso que aconteceu aqui ó que essa pessoa do Itaú aqui a Caroline Napolitano tinha senha lá tinha cadastro lá e a senha lá era essa aqui cw11 04 Então esse essa base de dados foi hackeada né E a senha dela foi vazada se ela usa essa senha em algum outro lugar Olha o problema disso O que que adianta o pessoal do it lá investi milhões na segurança e um site que o colaborador tinha uma conta foi hackeado e vazou a senha que é a mesma senha de acesso do colaborador no sistema percebe o grande problema aqui então durante seu P test tá pesso sempre consulte também vazamentos e insina no seu relatório de Pain test vazamentos mapeia e-mails telefones nome de usuário Você pode pesquisar aqui tá não é só eh como que fala não é só e-mail tá é qualquer coisa nome completo IP endereço telefone tudo que pode est no cadastro de uma base de dados certo então este é o The hash você pode literalmente consultar o vazamento existem vá outros sites para fazer isso vou te mostrar mais alguns deles Aqui tá o melhor de todos e mais poderoso é o Intel x ele deixa o The muito para trás aqui realmente tá todos vazamentos estão aqui ele centraliza Muita muita coisa é o mais poderoso de todos porém ele é absurdamente caro o Intel x custa hoje se eu não me engano 3000€ para poder consultar para tirar isso aqui daqui ó para ler em texto puro na informação só que uma coisa muito boa do TX eu já paguei ele uma vez não pago mais que ajuda muito tá é que mesmo não vendo o vazamento a gente consegue identificar aonde vazou por exemplo aqui ó o meu e-mail vazou aqui dentro ó foi algum vazamento de algum fórum acho às vezes aparece o nome do arquivo da empresa sabe Startup ó deixa deixa eu pegar aqui ó combo Brasil ó bap S paycon pagador psql tá vendo que aparece o nome do arquivo do vazamento isso aqui é interessante muitas vezes Identificar qual empresa que foi hackeada de qual base de dados que vem esse vazamento aqui também é do Ruiz então o Intel X é muito bom para isso tá para identificar locais né que foi que foi vazado aqui esse dado ó numa planilha que vazou meu e-mail aqui ó perfil do Google Chrome de autocompletar que louco né ó no patreon aqui ó patreon 2015 em 2015 foi hackeado né E a minha conta meu e-mail tava nesse quando foi hackeado lá olha que louco beleza então pessoal o Intel X é muito poderoso tá só que ele é bem caro acho que é 3000€ sim para pode criar uma conta gratuita uma pesquisa por dia se não me engano Tá mas para consultar de forma ilimitada é realmente bem caro outra opção também tá é estes sites aqui que são bem famosos sempre pesquiso tá esse site especificamente É uma opção gratuita ao theed tá então se você não quiser pagar o theed melhor lugar para você consultar é esse site aqui você pode botar aqui por exemplo um e-mail vou colar meu e-mail vou dar um enter ele vai T trazer dados aí do meu e-mail quem não pagar o The Esse site é o melhor para consultar Olha só encontrou também a senha que o vendia nesse vazamento aqui troue nesse aqui também encontrou até coisa a mais aqui com The Rest viu Ou seja Twitter intelex Bruno Fraga Twitter Bruno fragan combos muito massa né então fica aí de opção para vocês consar vazamentos também esse site aqui tá o leak lookup ele eu não uso muito ele tá para consultar só que ele é bem legal para ver base de dados hackeadas você database consegue também ver aí base de dados hackeadas né o site que vazou ele te informa aqui n o que que ele tem indexado na base de dados dele Você pode abrir por exemplo e filtrar o seu a empresa que fazer um Pain test ou filtrar com.
![[LIVE] Data Engineering in Python Demo](https://img.youtube.com/vi/7mh3L5lRPa4/maxresdefault.jpg)
