Coleção de dados roubados tem 2,2 bilhões de senhas; veja se você foi afetado

Em janeiro, foi descoberto um megabanco de dados de credenciais roubadas para inúmeros serviços, com 773 milhões de senhas únicas vazadas chamado de Collection #1. O que poucos esperavam é que duas semanas depois seria revelada uma coleção ainda maior de credenciais roubadas circulando livre e gratuitamente na deep web.

Chamado de Collection #2-5, o banco de dados concentra 2,2 bilhões de nomes de usuário acompanhado de senhas para múltiplos serviços online, e está sendo distribuído livremente em fóruns hackers e torrents. São 845 gigabytes de informações roubadas, atingindo boa parte da população online circulando de forma irrestrita na parte oculta da internet.

Segundo Chris Rouland, especialista em segurança consultado pela revista Wired, esta é a maior coleção de credenciais roubadas já vista. De acordo com ele, esses dados já circularam amplamente entre a comunidade hacker. O torrent do arquivo conta com pelo 130 pessoas fazendo o trabalho de “seed”, que são as pessoas que possuem o arquivo completo e distribuem para os interessados em fazer o download.

Um feito que faz com que essa coleção de credenciais seja mais perigosa que o normal, além do tamanho, é o fato de que ela está sendo distribuída sem qualquer restrição. Normalmente, esses bancos de informações roubadas são vendidos em pacotões dentro da comunidade hacker, o que, de certa forma, restringe um pouco o seu alcance. Quando elas são distribuídas de uma forma tão aberta, qualquer um que tenha o interesse em fazer o mal pode ter acesso a estes dados.

Como é comum nestes casos de grandes coleções de credenciais roubadas, o banco de dados é uma coleção de vazamentos de todos os tipos. Várias das combinações de nome de usuário e senha já não são mais válidas justamente por serem resultado de vazamentos antigos, cujas vítimas já foram notificadas, como, por exemplo, o roubo de informações do LinkedIn e do Dropbox.

O Hasso Plattner Institute, unidade especializada em tecnologia de informação da Universidade de Potsdam, na Alemanha, decidiu catalogar em seu banco de dados as informações contidas no Collection #2-5 e descobriu que 750 milhões das credenciais listadas eram novas. Você pode fazer a conferência se alguma informação sua está contida na lista por meio do serviço Info Leak Checker, mantido pelo HPI. Basta digitar seu endereço de e-mail e depois de alguns minutos você receberá uma mensagem na sua caixa de entrada informando todas as ocorrências ligadas ao seu e-mail.

Esse tipo de vazamento é perigoso por muitos motivos, sendo que talvez o mais danoso tem a ver com uma técnica chamada “credential stuffing”, que é bem fácil de entender e visa atingir as pessoas que repetem suas senhas em múltiplos sites. Por exemplo: se o email e a senha que você usa na Netflix, por exemplo, caírem na mão de hackers, eles também podem tentar usar essas informações para tentar fazer login na Uber ou na Amazon e usar seu cartão de crédito sem autorização, ou então tentar a mesma combinação para entrar no Gmail, ler conversas privadas, roubar informações pessoais e ter o controle sobre basicamente sobre toda sua vida digital.

Vale a pena conferir tanto no Info Leak Checker quanto no site Have I Been Pwned? se o seu e-mail já esteve envolvido em um vazamento de dados publicamente conhecido. A recomendação caso você tenha sido afetado é trocar suas senhas em todos os serviços onde você a tenha repetido.

Você faz compras Online? Não deixe de conferir a extensão do Olhar Digital que garante o preço mais baixo e ainda oferece testadores automáticos de cupons. Clique aqui para instalar.




RECOMENDADO PARA VOCÊ