Pesquisadores de segurança da GitGuardian descobriram uma grave falha que expôs a chave de acesso privada de alguns dos sites mais importantes do mundo. Essas chaves, parte integral dos certificados TLS, são essenciais para proteger senhas e dados de cartões de crédito. O vazamento dessas chaves pode permitir acesso total de hackers às páginas afetadas.
A pesquisa da GitGuardian revelou que, desde 2021, aproximadamente 1 milhão de chaves privadas foram acidentalmente postadas em sites públicos, como GitHub e DockerHub. Com um referenciamento cruzado com a base de dados web da Google, a equipe conseguiu mapear os vazamentos a 140.000 certificados.
Certificados ainda válidos
Até setembro de 2025, exatamente 2.622 certificados ainda estavam válidos e ativos. Dentre eles, mais de 900 pertencem a empresas da Fortune 500, além de serviços de saúde e agências governamentais. Essa situação é alarmante, pois permite que hackers imitem completamente os sites (spoofing) e interceptem dados sensíveis.
Baixa resposta das organizações
Apesar da gravidade do problema, muitos desses sites não se preocuparam em corrigir a vulnerabilidade de criptografia. A GitGuardian enviou 4.300 e-mails informando sobre a falha para mais de 600 organizações, mas apenas 9% responderam. Em alguns casos, os programas de recompensa por encontro de bugs chegaram a pedir provas de que o vazamento de chaves privadas “realmente representa um problema de segurança”.
Remediação e recomendações
Até o momento, a equipe da GitGuardian conseguiu remediar 97% dos casos, mas teve que contatar as autoridades que emitiram os certificados. A empresa recomenda que a indústria comece a usar chaves únicas que rotacionam automaticamente, garantindo que, mesmo em caso de vazamento, o dano causado seja limitado.
Opinião
O vazamento de chaves privadas é um alerta sério para a segurança digital de grandes empresas e instituições governamentais, que precisam priorizar a proteção de dados sensíveis.
