A Internet está cheia de listas com passwords e contas de email roubadas, que podem ser recolhidas pelos mais variados meios. Muitas vezes é possível que uma password esteja comprometida mesmo que nunca a tenho utilizado em sites de pouca confiança ou sido atacado diretamente – o que ocorre, por exemplo, quando bases de dados e servidores são atacados diretamente.
Recentemente o investigador de segurança Troy Hunt, mais conhecido por ser o responsável do serviço Have I Been Pwned, revelou o que pode ser uma das maiores listas de passwords e emails alguma vez registada na Internet.
O investigador afirma possuir uma lista com mais de 2,692,818,238 linhas de dados, distribuídos entre passwords e emails -e outros dados considerados como “lixo” - que foram recolhidos de centenas de fontes externas. Depois de uma limpeza, o investigador afirma que a lista possui mais de 772,904,991 endereços de emails e um conjunto de 21,222,975 passwords únicas.
Estes dados terão sido inicialmente partilhados a partir do serviço de armazenamento MEGA, onde existiam mais de 12.000 ficheiros separados num total de 87GB de dados. Estes ficheiros encontravam-se separados em diferentes pastas, contendo informações como os sites de onde foram recolhidos e outros dados para os atacantes utilizarem. O conjunto de dados estava numa pasta principal chamada de “Collection #1” – que será o nome dado ao conjunto total de dados agora revelados.
A origem destes dados ainda será desconhecida – além da pouca informação que foi possível obter dos ficheiros associados e do nome dos mesmos. Estes dados aparentam ter sido recolhidos de diversas fontes na Internet, desde sites a servidores, passando por ataques diretos em esquemas de phishing e roubos reais de ficheiros físicos.
Uma das formas de verificar se o seu email encontra-se nesta lista passa por utilizar o serviço “Have I Been Pwned”, onde o investigador afirma já ter colocado toda a lista dos emails e passwords acessível para verificação.
Como sempre, é também importante que os utilizadores tenham praticas seguras de manter as suas contas online, como é o caso de utilizarem um gestor de passwords e manterem contas com passwords únicas, bem como ativar a autenticação em duas etapas.
Nenhum comentário
Seja o primeiro!