Vivemos em um mundo digitalizado onde temos inúmeras contas. Estamos registrados em plataformas de email, lojas online, serviços de streaming, aplicativos móveis, entre muitos outros. E, com o passar dos anos, acumulamos cada vez mais nomes de usuário e senhas.
Embora muitas vezes possamos nos sentir seguros, há uma certa chance de que algumas de nossas credenciais acabem vazando. Em termos gerais, isso pode ser devido a um incidente da nossa parte, dos usuários ou envolvendo empresas em quem confiamos.
Milhões de senhas em um fórum
As violações de dados são uma realidade desconfortável. Ao longo dos anos temos visto compilações circulando com milhões de senhaso que levou Google e Microsoft a adicionar ferramentas para verificar se as senhas armazenadas no navegador foram comprometidas.
Esta semana, uma nova compilação massiva de dados vazados veio à tona e está circulando gratuitamente em fóruns frequentemente frequentados por cibercriminosos. São 71 milhões de endereços de e-mail e 100 milhões de senhas armazenadas em texto simples.
O vazamento foi revelado por Troy Hunt, renomado analista de segurança cibernética que criou a página anos atrás. Fui sacaneado para ajudar a identificar dados vazados. Hunt explica que fez uma amostra do enorme arquivo de 104 GB para obter alguns detalhes sobre ele.
Após extensos testes, alguns dos quais envolveram a colaboração das vítimas, ele concluiu que a compilação contém endereços de e-mail e senhas reais, embora com uma diferença: parece haver muitas senhas antigas.
Hunt também descobriu que 67% dos dados já haviam sido incluídos em Have I Been Pwned, mas os 33% restantes eram completamente novos. De qualquer forma, são milhões de senhas que estão ao alcance dos cibercriminosos, um problema que pode se complicar em alguns cenários.
Embora alguns serviços solicitem que os usuários alterem as senhas após um determinado período de tempo, outros não fazem nada a respeito. Nesse sentido, é provável que existam pessoas afetadas cujas chaves tenham vários anos. Mas este não é o único problema.
A reutilização de senhas também entra em jogo, uma prática muito comum da qual atores mal-intencionados podem se aproveitar. Como os endereços de e-mail também vazaram, um senha reutilizada vazado pode abrir a porta para um comprometimento da segurança em outros serviços.
Como dizemos, todas as senhas vazadas foram adicionadas a um serviço chamado Pwned Passwords, que permite aos usuários verificar se foram vazadas. É uma ferramenta de código aberto dos criadores de Have I Been Pwned que promete proteger a privacidade.
Pwned Passwords funciona sob a mesma mecânica de Have I Been Pwned. Deve-se notar que, embora seja desenvolvido por atores renomados do mundo da segurança cibernética, e os detalhes do projeto podem ser consultados publicamente, os usuários devem utilizar a ferramenta por sua própria conta e risco.
Imagens: Mika Baumeister | Caça Tróia
Em Xataka: Alguém conseguiu 1,8 milhões de euros em criptomoedas graças ao ‘cryptojacking’: acabou sendo preso pela Europol