Vazamento de Dados – H2HC – S0m3trolls L34ksqu4d

Atualização em 22/10:

A organização da H2HC entrou em contato com o Lab e esclareceu que:

Os dados pessoais de 499 pessoas não são de participantes do evento e que aquele tipo de dado não é coletado pela H2HC. Esclareceu também que os dados se referem a uma empresa de cursos de segurança da informação que não é patrocinadora do evento e não está relacionada a H2HC de nenhuma forma.

A organização também foi categórica em indicar que nenhuma informação relacionada a qualquer patrocinador do evento. Que a expressão “patrocinador” foi utilizada no leak porque os dados de contas de uma pessoa física – que não tem relação com o evento – foram expostos.


A Equipe do DefCon Lab desconhecia uma informação importante contida em um dos leaks: a referência a uma empresa de cursos de segurança da informação.

Esse dado está no vazamento, mas nenhum dos integrantes conhecia a empresa e por essa razão não compreendeu que uma das publicações teve essa empresa como alvo (fato que foi devidamente esclarecido pela organização da H2HC). A Equipe do Lab considerou que os dados poderiam ser de participantes do evento baseado na expressão “Todo ano a caça na H2HC acontece e esse ano não será diferente”.


Nosso sistema de Monitoramento Avançado Persistente identificou, em 20/10, sequência de publicações no site de compartilhamento de texto Pastebin.com contendo vazamento de dados que mencionam a maior conferência hacker do Brasil: Hacker to Hackers Conference (H2HC), realizada nesse final de semana em São Paulo.

As ações, aparentemente, foram realizadas por um grupo denominado S0m3trolls L34ksqu4d.

O vazamento se repetiu em diversas publicações, mas teve dois grandes grupos de dados: dados pessoais de 499 pessoas e dados pessoais/corporativos do que seriam patrocinadores do evento e entidades públicas.

No primeiro grupo de leaks os dados pessoais de participantes do evento incluem endereço físico e e-mail, nome, CPF, celular (com DDD), profissão (declarada) e hash de senha (MD5).

Posteriormente a publicação desse post foi esclarecido pela organização da H2HC que os dados se referem a uma empresa de treinamentos de segurança da informação que não está relacionada ao evento. 

Leak – H2HC

A publicação inclui o que parece ser uma provocação e justificativa para o vazamento de dados:

Não tente hackear um curso de hackers, lá tem hackers?

Todo ano a caça na H2HC acontece e esse ano não será diferente

O segundo pacote de dados vazados possui uma quantidade impressionante de informações sobre diferentes pessoas e instituições.

Leak – H2HC

Os dados e informações contidos no leak podem ser agrupados em quatro grandes categorias:

  • Dados do que seriam patrocinadores do evento – incluisve credenciais (usuário e senha em claro) para inúmeros serviços – foram publicados no paste. Duas pessoas físicas tiveram seus nomes citados no leak e uma terceira é referenciada nos dados listados. Ao menos três organizações vinculadas a segurança da informação no Brasil tiveram algum nível de exposição no vazamento.
  • Exploração de uma vulnerabilidade (RCE) em serviço do antigo Ministério do Desenvolvimento Agrário (MDA), atual Secretaria Especial de Agricultura Familiar e do Desenvolvimento Agrário na Casa Civil – http://i3geo.mda.gov.br/i3geo
  • Menção ao vazamento de dados do Banco Inter como o melhor “owned” do ano de 2018
  • Divulgação de 613 credenciais (usuário e senha em claro) de entidades públicas como Anatel (37), Câmara dos Deputados (148), Ministério de Ciência, Tecnologia e Inovação – MCTIC (19), Presidência da República (11), Senado Federal (222), Ministério Público – diferente ramos (137) e Tribunal Superior Eleitoral – TSE (39). 

Não foi possível identificar o(s) sistema(s) de origem dos dados, embora a presença de domínios ‘.gov.br’ em uma das instituições listadas no vazamento seja indicativo de que os dados podem não ser tão recentes, pois o referido domínio não existe.

A autoria dos vazamentos é reivindicada pelo S0m3trolls L34ksqu4d, que deixar um contato de e-mail (s0m3trolls_l34ksqu4d@protonmail.com) e uma possível mensagem de jusitificativa para o vazamento:

Depois do tão aclamado alinhamento lunar que os Tr0LL$ tanto esperavam, eis que saem de seus pantanos no coracao do Mato Grosso do Sul para trazer a voces a carnificina dos infosecs

Não foi possível estabelecer vínculo entre os dois vazamentos de dados, sendo possível se tratar de ações independentes entre si e praticadas por atores autônomos. Além disso, as ações não parecem ter motivação político-ideológica, tampouco os alvos privados e públicos aparentam relação direta.