This post is also available in: Português
Imagine que praticamente metade de toda a população mundial teve a senha de seu e-mail vazado. Parece ficção, tendo em vista que o planeta possui cerca de 7,8 bilhões de pessoas – e muitas delas ainda não possuem qualquer acesso à internet.
Contudo, essa comparação ganhou ares mais palpáveis com a recente notícia de que foi vazado um conjunto com mais de 3,2 bilhões de pares únicos de e-mails e senhas – publicados em um fórum clandestino. Esse vazamento superou a Compilação de Violação de 2017, em que 1,4 bilhão de credenciais foram expostas.
A violação atual, conhecida como Compilação de muitas violações (COMB, na sigla em inglês), contém um script chamado count_total.sh, que também foi incluído no conjunto de 2017. Inclui ainda dois outros scripts: query.sh, para consultar e-mails, e sorter.sh, para classificar os dados.
Novidade?
Apesar do tamanho, esta não parece ser uma nova violação, mas sim uma gigante reunião de várias violações. Muito parecida com o caso de 2017, os dados do COMB são organizados em ordem alfabética em uma estrutura de árvore – e contém os mesmos scripts para consultar e-mails e senhas.
Até o momento, não se sabe quais bancos de dados vazados anteriormente foram incluídos na violação atual. Entretanto, checagens iniciais já descobriram e-mails e senhas pertencentes a domínios de todo o mundo.
Semelhanças
Suspeita-se que o COMB usou como base a Compilação de Violação de 2017. Naquela ocasião, analistas de inteligência da 4iQ descobriram que se tratava de um único banco de dados, com 1,4 bilhão de pares de e-mail e senha – tudo em texto simples.
Na época, foi considerada a maior exposição não autorizada de credenciais. Afinal, era quase o dobro da então campeã, que tinha quase 800 milhões de registros.
O vazamento de 2017 continha 252 violações anteriores reunidas, incluindo contas do LinkedIn, Netflix, Minecraft e Badoo. No entanto, descobriu-se que 14% dos pares de nome de usuário/ senha expostos não haviam sido descriptografados anteriormente, e agora estão disponíveis sem qualquer bloqueio.
Outro ponto em comum é que não se trata de “apenas” uma lista, mas sim de um banco de dados interativo. Assim, permite pesquisas rápidas e importação de novos conteúdos violados – algo semelhante a um trabalho colaborativo ainda em andamento. Tendo em vista que muitas pessoas reutilizam senhas em seus e-mails, mídias sociais, sites de compra online e contas bancárias, os crackers podem automatizar o sequestro ou a apropriação das contas.
Desdobramentos
Com um alto percentual de pessoas que reutilizam as mesmas senhas em serviços diferentes, os ataques de preenchimento de credenciais são a maior ameaça. Como o volume do banco é gigantesco – lembrando que são 3,2 bilhões – os impactos podem ser sem precedentes.
Além disso, os usuários cujos dados foram incluídos em diferentes compilações podem se tornar vítimas de ataques de spear-phishing com mais facilidade, ou então receber e-mails de spam em uma frequência absurda.
Seja qual for o caso, a recomendação é alterar as senhas regularmente, e usar passwords exclusivos para cada conta. E mais: as senhas devem ser fortes, ou seja, formadas por números, caracteres especiais e letras maiúsculas e minúsculas, com no mínimo dez dígitos.
Um auxílio extra à segurança é utilizar autenticação multifatorial, como o Google Authenticator. Dessa forma, mesmo se um invasor tiver seu nome de usuário e senha, ele não poderá entrar.
Proteções do tipo veem sua importância aumentar, já que se vivencia um contexto no qual os vazamentos de dados chegam à casa do bilhão. Aí, a chance de escapar fica cada vez menor – especialmente para quem usa senhas de fácil dedução.
This post is also available in: Português
