2.2 mil milhões de contas comprometidas em novo leak
Não passaram nem 15 dias desde que foi descoberta uma das maiores bases de dados com informações pessoais na Internet, contendo milhares de emails e passwords sobre diversos serviços. No entanto, já foi descoberta uma nova base de dados que pode ser ainda maior, no que será um dos maiores “leaks” da Internet.
No passado dia 17 de Janeiro, uma base de dados apelidada de “Collections #1” foi descoberta na internet, contendo mais de 770 milhões de emails únicos. Esta lista continha ainda mais de 22 milhões de nomes de utilizador e passwords, dividida em mais de 12.000 ficheiros.
No entanto, pode ter sido descoberta um seguimento desta lista, contendo um volume ainda maior de dados. Apelidada de “Collections #2-5”, e descoberta inicialmente pelo portal Heise, a nova lista pode conter um total de 2.2 mil milhões de dados de login – o que inclui nomes de utilizador, emails e passwords – num total de 845GB de ficheiros.
De acordo com o portal Wired, a lista continha um total de 25 mil milhões de dados, mas o número foi reduzido para 2.2 mil milhões depois de serem eliminadas entradas em duplicado ou recolhidas de anteriores bases de dados divulgadas online.
Mesmo assim, eliminando as contas duplicadas, o número de contas existentes nesta nova lista é muito superior ao que tinha sido descoberto na Collections #1. Os ficheiros agora descobertos encontram-se a ser analisados pelo Hasso Plattner Institute e por funcionários da empresa Phosphorus.io.
Chris Rouland, fundador da Phosphorus, afirma que mais de 130 utilizadores estariam a disponibilizar estas listas publicamente na Internet, criando assim um vasto repertório de dados disponíveis para hackers. No total, a lista poderá ter sido descarregada de forma completa – nos seus mais de 845GB de ficheiros – um total de mil vezes. Isto agrava ainda mais a situação, visto que é possível existirem mais copias de todos estes dados, os quais podem nunca vir a ser removidos por inteiro da Internet.
Apesar de os detalhes existentes nestas novas listas “Collection” poderem não ser propriamente novos, ainda assim expõem um elevado número de contas e emails que podem ter sido comprometidos – e uma vasta maioria pode ainda continuar vulnerável, com os seus responsáveis a não saberem que são afetados ou que as suas senhas podem ter sido comprometidas.
Além disso, as listas também facilitam a tarefa dos atacantes em realizarem tentativas de login sobre plataformas online. Ainda no início deste mês, a plataforma de partilha de vídeos Dailymotion revelou encontrar-se a ser alvo de um ataque de adivinhação de senhas nos seus sistemas.
Os atacantes estariam a utilizar sistemas automáticos para tentarem adivinhar logins de contas na plataforma, com alguns dos dados a terem sido recolhidos de ataques anteriores e não relacionados diretamente com o Dailymotion.
> Como verificar se o seu email foi afetado?
Aquando a revelação do Collections #1, Troy Hunt, investigador de segurança responsável pelo site haveibeenpwned?, disponibilizou a primeira lista para análise no seu serviço. Estas novas listas estão agora disponíveis – por enquanto – apenas no site Info Leak Checker.
Para verificar se o seu email poderá ter sido afetado basta introduzir o mesmo no site, sendo o relatório final enviado para a conta. A partir dai poderá verificar se o seu email foi um dos afetados nas novas listas agora descobertas. No total, o serviço possui mais de 8,165,169,702 contas registadas, distribuídas sobre mais de 810 leaks ao longo dos anos.
> Como se proteger?
Apesar dos vários alertas, ainda existem utilizadores que optam por utilizar as mesmas passwords sobre diferentes plataformas. O recomendado será que cada conta que possui na Internet tenha uma password única e diferente, além de segura. A utilização de um Gestor de Senhas poderá ajudar drasticamente nesta tarefa, e será algo que recomendamos no TugaTech.
Além disso, a mudança pró-ativa de senhas em contas afetadas será algo sempre recomendado. Agende uma mudança de senhas num período de tempo específico, para evitar que uma conta possa ser comprometida em algum momento.