Todos os dados estão reunidos num gigantesco arquivo de 87GB, depositado no serviço de armazenamento em nuvem MEGA. A falha de segurança foi batizada por Hunt como Collection #1 — o nome da pasta onde toda a informação foi achada.
Mais de 772 milhões de emails e 21 milhões de senhas foram expostos em um fórum para hackers, num dos maiores vazamentos de dados da história, informou o especialista em segurança cibernética Troy Hunt em seu blog pessoal. Todos os dados estão reunidos num gigantesco arquivo de 87GB, depositado no serviço de armazenamento em nuvem MEGA. A falha de segurança foi batizada por Hunt como Collection #1 — o nome da pasta onde toda a informação foi achada.
Por enquanto não se conhecem a origem e o autor do vazamento. Os arquivos já foram retirados do MEGA, mas é possível que várias pessoas tenham cópias dessa base de dados e inclusive voltem a compartilhá-la na Internet. Depois de analisar toda a informação, o especialista em segurança digital comprovou que alguns emails e senhas já tinham sido expostos anteriormente. Ainda assim, mais de 140 milhões de correios eletrônicos e de 10 milhões de senhas correspondem o novos vazamentos. “Simplesmente parece ser uma coleção completamente aleatória de sites para maximizar a quantidade de credenciais disponíveis para os hackers”, contou Hunt à revista especializada em tecnologia Wired.
O perigo de alguém ter acesso a um correio eletrônico é que o invasor pode acessar todos os detalhes dos emails e inclusive suplantar a identidade do usuário. Além disso, se a vítima usar o mesmo usuário e senha em outras plataformas da Internet, os hackers poderão acessar diferentes serviços, como as redes sociais e contas bancárias. “As pessoas fazem listas como esta [Collection #1] com nosso email e senhas e depois tentam ver onde mais funcionam. O sucesso desta tática se baseia em que as pessoas reutilizam as mesmas credenciais em múltiplos serviços”, explica Hunt em seu blog. Esse especialista em cibersegurança é responsável pelo site Have I Been Pwned, que permite saber se um email ou chave de acesso foi comprometido.
Não é a primeira vez que um vazamento desse tipo ocorre. Mas neste caso chama a atenção a quantidade de usuários afetados. Só fica atrás do hackeamento que o Yahoo admitiu ter sofrido em 2017, quando foram afetadas todas as três bilhões de contas do serviço ativas naquele momento.
Como saber se você foi afetado Apesar de o arquivo já ter sido eliminado do fórum, Hunt aponta que há “um sério problema” se alguém já tiver as credenciais em seu poder, e recomenda testar. Para isso, basta acessar o site Have I Been Pwned e introduzir o seu endereço de correio eletrônico. Essa plataforma não só indica se você é um dos afetados pelo Collection #1 como também se o email faz parte de alguma falha de segurança detectada por Hunt nos últimos anos.
Porém, o Have I Been Pwned não permite ao usuário testar a senha associada a esse email. Embora muitos usuários solicitem essa informação a Hunt, ele se nega a fornecê-la porque considera que o correio eletrônico não é “um canal de comunicação seguro” para enviar credenciais sigilosas.
Porém, ele também oferece a possibilidade de procurar se uma senha específica foi afetada, usando o Pwned Passwords, uma base de dados que reúne mais de 551 milhões de credenciais expostas em algum vazamento. Por exemplo, ao introduzir a senha “123456”, uma das mais habituais entre os usuários, mas que deve ser evitada a todo custo, o sistema indica que “foi vista 23.174.662 vezes antes”. “Esta senha apareceu previamente em uma violação de dados e nunca deve ser usada. Se alguma vez você a usou em algum lugar, troque-a!”, alerta o site.
É recomendável que todos os afetados alterem as senhas de suas contas o quanto antes e ativem a verificação em dois passos sempre que for possível. Caso reutilize senhas em diferentes serviços, uma boa opção seria utilizar um gestor de credenciais. Esses programas se encarregam de gerar senhas aleatórias e as recordam por nós.
“A única senha segura é a que não consigo recordar”, afirma Hunt no blog. Embora argumente que os administradores de senhas são a melhor opção para garantir a segurança das contas na Internet, ele tem consciência de que há pessoas que provavelmente prefiram guardar suas chaves à moda antiga: “Se usar um administrador de senhas digital é um passo muito grande para você, recorra à velha escola e arranje um analógico. Ou seja, um caderno. Anotar as senhas únicas em um livro e mantê-las dentro de uma casa fechada é muito melhor que reutilizá-las em toda a Internet”.