Uma lista de endereços de e-mail e passwords foi criada a partir de diferentes lacunas individuais de milhares de fontes também elas diferentes.
Cerca de 773 milhões de endereços de e-mail únicos e mais de 21,2 milhões de passwords únicas (em texto simples) que foram usadas para aceder a sites de terceiros foram publicados de forma massiva no denominado “Colletion #1”.
A notícia surge através do investigador de segurança Troy Hunt, responsável pelo conhecido site Have I Been Pwned (HIBP), que permite a participação de pessoas (e recebe também notificações) caso alguma das suas contas tiver sido vítima de alguma violação. Os dados foram publicados em primeiro lugar no conhecido serviço de armazenamento na nuvem, o MEGA, e mais tarde num popular fórum de hackers, refere Hunt. A coleção completa é composta por mais de 12.000 ficheiros que ao todo pesam mais de 87 GB.
O “Collection #1” é um conjunto de endereços de e-mail e de passwords que perfazem um total de 2.692.818.238 linhas. “Foi criado a partir de diferentes lacunas de dados individuais provenientes de milhares de fontes diferentes”, publicou Hunt.
Também como parte da purificação dos dados, 1.161.253.228 combinações únicas entre endereços de e-mail e passwords foram “destiladas” deixando um total de 772.904.994 endereços de e-mail junto de 21.222.975 passwords únicas, disponíveis em texto simples. Além disso, não inclui passwords em forma de hash.
É importante mencionar que qualquer pessoa que tenha acesso à cache pode facilmente testar passwords em texto simples nas contas. Aproximadamente 140 milhões de endereços de e-mail e cerca de 10,6 milhões de passwords não faziam parte de falhas/ lacunas anteriores.
Hunt refere ainda que reconheceu muitas das atuais falhas de segurança na lista do diretório, mas notou que é possível que algumas delas se refiram a serviços que não estiveram diretamente envolvidos em alguma falha.
Por outro lado, acrescentou que códigos antigos também apareciam na cache e que esta antiga combinação de e-mail/ password era muito precisa.
“Ou seja, se faz parte desta violação, uma ou mais passwords que usou anteriormente estão ao alcance de outros”, referiu.
Agora que Hunt carregou os dados da Collection #1 no HIBP pode ver com os seus próprios olhos se algum dos seus endereços de e-mail, ou conta associada aos seus e-mails, fizeram parte de alguma conhecida falha de segurança (passwords podem ser testadas aqui). A confirmar-se considere alterar as suas passwords e assegure-se que não volta a reutilizá-las em mais lugar nenhum.
“O facto é que após estas fugas de informação, as passwords demonstram a fraqueza com que os utilizadores as constroem. Se considerarmos que as empresas mantém as suas passwords encriptadas, e que com um ataque de force brute é possível decifrar a informação, demonstra que muitos utilizadores continuam a utilizar palavras de dicionário, datas ou sequências de números. Como tal, há que considerar passwords realmente robustas e não repetir a mesma password em todos os serviços que utiliza, a utilização de um segundo fator de autenticação, já disponível na maioria dos serviços que usamos na Internet, e que permite manter o acesso seguro às contas e a este tipo de falhas”, referiu o Chefe de Laboratório da ESET da América Latina, Camilo Gutiérrez.
[…] na segunda metade de janeiro último que, através do MEGA e outros fóruns, surgiu a notícia que 773 milhões de endereços de e-mail exclusivos e mais de 20 milhões de passwords tinham sido filtr… e inseridos numa pasta denominada de Collection#1. Contudo, na semana passada soube-se que mais […]
[…] de visitas por mês, ocorreu coincidentemente no mesmo mês em que se tornou público a filtração de 773 milhões de endereços de e-mail e 21 milhões de passwords. Felizmente para os utilizadores, as informações desta extensa lista denominada Collection #1 […]