Depois da filtragem da Collection#1 com mais de 700 milhões de endereços de e-mail e mais de 20 milhões de passwords, mais quatro pastas foram descobertas recentemente. No total, as cinco listas que vão desde a Collection#1 à #5, fazem um total de 2,2 mil milhões de registos.
Foi já na segunda metade de janeiro último que, através do MEGA e outros fóruns, surgiu a notícia que 773 milhões de endereços de e-mail exclusivos e mais de 20 milhões de passwords tinham sido filtradas e inseridos numa pasta denominada de Collection#1. Contudo, na semana passada soube-se que mais quatro pastas foram constituídas, e que fazem agora parte da mesma coleção de nomes de utilizadores, e-mails e passwords (entre outros) e que totalizam 993,36 GB.
Estas últimas quatro pastas são denominadas de Collection#2, Collection#3, Collection#4 e Collection#5, assegurou Bryan Krebs. Na imagem seguinte, extraída de um dos fóruns onde a lista completa foi disponibilizada, é possível ver a denominação de cada pasta e qual a dimensão das mesmas.
Embora esta compilação de credenciais seja composta por dados que foram filtrados em falhas de segurança antigas, acredita-se que algumas contas sejam de lacunas recentes, o que significa um risco para os utilizadores cujas credenciais foram roubadas.
De acordo com uma investigação realizada pelo Instituto Hasso Plattner, localizado em Potsdam, na Alemanha, o “pacote” completo com todas as pastas (de #1 a #5) totaliza 2,2 mil milhões de registos. De acordo com o investigador de segurança da Wired, Chris Rouland, “esta é a maior coleção de dados resultado de falhas de segurança já vista”.
Por outro lado, é importante mencionar que o Instituto Hasso Plattner oferece um serviço semelhante ao Have I Been Pwned, no qual os utilizadores podem confirmar se os seus dados faziam parte dessa grande filtragem, ou não. Este serviço, chamado Identity Leak Checker, tem por base todos os nomes de utilizadores, endereços e passwords que fazem parte das cinco pastas, bem como registos de outras filtrações.
Como se pode ver na imagem abaixo, para além do nome de utilizador e password, a ferramenta também mostra se outros dados pessoais foram expostos em alguma falha de segurança, como sejam detalhes da conta bancária, data de nascimento, número de telefone, entre outros.
Esta compilação tem circulado em sites clandestinos, onde através de torrents é dada a possibilidade de obter esta longa lista de credenciais. Segundo Rouland explicou à Wired, no seu caso, de acordo com o ficheiro que obteve para descarregar a lista, cerca de 130 equipamentos já possuíam a lista e estavam a funcionar como “semente” para que outros pudessem ter acesso à coleção.
Um hacker com esta lista em seu poder pode realizar um ataque de credential stuffing, é por isso que os utilizadores devem verificar se as suas passwords foram filtradas através de alguma falha de segurança. Para isso, além de verificar no Have I Been Pwned e no Identity Leak Checker, também pode tentar o HackNotice. O passo seguinte é atualizar as suas passwords e ter o cuidado de escolher passwords mais seguras para cada serviço que utiliza, deixando desta forma de reutilizar senhas em mais do que um serviço. Por fim, recomendamos a ativação de duplo fator de autenticação em todos os serviços que oferecem essa possibilidade. Ao fazer isso, é adicionada mais uma camada de segurança às suas contas.
