Artigos sobre: Ameaças

Como Interpretar Findings

Como Interpretar Findings (Hostname, Password, Occurrences)


A seção Findings dentro da tela de Detalhes da Threat exibe as evidências brutas que comprovam a exposição de uma identidade.

Cada finding representa um registro independente encontrado pela Selki — seja em logs de infostealer, bases vazadas, coleções de credenciais ou fontes públicas.


Entender Hostname, Password e Occurrences é fundamental para avaliar a severidade da ameaça e definir a resposta correta.



1. Hostname


O que é o Hostname

O hostname é o nome da máquina infectada por um malware infostealer.

Quando presente, indica que a credencial foi capturada diretamente de um dispositivo comprometido.


Os nomes podem variar:

  • nomes configurados pelo usuário
  • nomes gerados automaticamente pelo sistema
  • identificadores de máquina


Por que o Hostname é importante

O hostname confirma que:


  • houve infecção real em um dispositivo
  • as credenciais foram extraídas diretamente do navegador
  • o usuário pode ainda estar usando o dispositivo comprometido
  • outras contas podem ter sido capturadas no mesmo host


Impacto na severidade

Threats com hostname geralmente recebem risco High ou Critical, devido à precisão e recência dos dados.



2. Password


O que significa “Password Found”

Esse campo indica se uma senha foi encontrada em conjunto com a identidade exposta.


A senha pode estar em formato:

  • plaintext (mais grave)
  • hash
  • parcialmente redigida
  • ou nenhum dado de senha presente


Por que isso importa

Se uma senha está disponível:


  • atacantes podem tentar acesso imediato
  • ela pode estar sendo reutilizada em outros serviços
  • facilita ataques de credential stuffing
  • aumenta exponencialmente o risco de takeover


Ação recomendada

Sempre realizar reset de senha o mais rápido possível.



3. Occurrences (Ocorrências)


O que são

Número de vezes em que a mesma identidade aparece em fontes diferentes ou em logs distintos.


Cada “card” exibido na seção Findings representa uma ocorrência.


Exemplos:

  • 1 ocorrência → exposição única
  • 3 ocorrências → dados encontrados em múltiplas fontes
  • 10+ ocorrências → comprometimento persistente ou massivo


Por que ocorrências importam

Mais ocorrências indicam:


  • reutilização de senha
  • diversas infecções em diferentes dispositivos
  • presença em várias bases vazadas
  • exposição contínua ao longo do tempo


Quanto maior o número, maior a probabilidade de exploração.



Como Findings ajudam na investigação


Findings fornecem evidências concretas para:


  • determinar tipo e origem da exposição
  • avaliar urgência da remediação
  • identificar dispositivos infectados
  • entender comportamento de senha (reuso, fraqueza, recorrência)
  • correlacionar usuários comprometidos dentro do mesmo host



Casos práticos


1. Hostname + Password + Múltiplas ocorrências → Crítico

Indica:

  • dispositivo infectado
  • senha exposta
  • várias coletas da mesma máquina


2. Breach antigo + sem senha → Risco baixo

Dados antigos, pouco úteis para atacantes.


3. Múltiplas ocorrências em fontes diferentes → Alto risco

Mostra exposição persistente e provável reuso de senha.



Resumo


A seção Findings mostra:

  • Hostname → confirma infecção do dispositivo
  • Password → indica exploitabilidade imediata
  • Occurrences → mostra criticidade e repetição da exposição


Essas informações formam a base da análise de severidade e orientam a resposta recomendada pela equipe de segurança.


Atualizado em: 02/12/2025

Este artigo foi útil?

Compartilhe seu feedback

Cancelar

Obrigado!