O maior
banco de endereços de e-mail roubados já visto foi encontrado nesta semana,
batizado de “Collection #1”. O site “Have I Been Pwned?” encontrou uma base com
773 milhões de endereços de e-mail únicos com mais 21 milhões de senhas usadas
para fazer login em múltiplos sites e serviços online.
Como é comum
nestes casos, as credenciais não são frutos de um único ataque ou uma só
campanha de phishing que enganou pessoas para digitar seus logins e senhas em
páginas falsas. Bancos gigantescos como o Collection #1, catalogado pelo
especialista Troy Hunt, são, na verdade, a reunião de dados vindos de múltiplos
ataques pequenos cujos resultados reunidos, normalmente, de forma
desorganizada.
Os dados
catalogados no arquivo publicado no site de compartilhamento MEGA conta com
informações datadas de pelo menos 2015. Seu propósito provavelmente seria
utilizar esse banco de dados como referência para ataques conhecidos como
“credential stuffing”. Na prática, a técnica consiste em usar softwares para
testar uma credencial vazada em outros sites com objetivo de ganhar acesso a
mais contas de uma vítima.
Por exemplo: se seu email e senha da Netflix
vazarem, os hackers podem tentar usar a mesma combinação para acessar sua conta
do Spotify, do Google Drive, da Uber e tantos outros; por este motivo é bom
usar senhas diferentes em cada serviço.
Até a
descoberta do Collection #1, o maior banco de dados roubados encontrados e
catalogados no site Have I Been Pwned era de 711 milhões de registros. O banco,
no entanto, é maior do que estes 773 milhões mencionados; este são apenas os
registros únicos. O total de combinações de e-mail e senha vazadas chega a 1,16
bilhão, o que significa que várias pessoas aparecem na lista múltiplas vezes, e
em alguns casos com senhas diferentes.
Como saber se você foi atingido
O site Have
I Been Pwned é uma ferramenta interessante que é usada para catalogar esses
grandes vazamentos e permitir que o usuário comum saiba se já foi atingido em
algum deles. Se você quiser saber se seus dados já foram vazados, basta
acessar esta página e digitar seu endereço de e-mail.
Caso você
tenha sido afetado em algum dos vazamentos, troque imediatamente a senha do
e-mail afetado e de todas contas importantes vinculadas àquele endereço. Crie,
de preferência, uma senha bem longa, alternando letras maiúsculas e minúsculas,
números e símbolos formando, de preferência sem formar uma sequência lógica de
caracteres. Se possível, ative a verificação em duas etapas em todos os
serviços em que estava cadastrado com aquele endereço.
Nenhum comentário:
Postar um comentário