A conhecida plataforma de partilha de vídeos informou que foi alvo de um ataque do tipo credential stuffing. Saiba o que ocorreu e o que tem de fazer para estar protegido.
A plataforma DailyMotion informou em comunicado ter sido vítima de um ataque de credential stuffing em larga escala que tinha como objetivo roubar dados dos utilizadores. A empresa destacou ainda que a tentativa de ataque ainda persistia, mas foi controlada satisfatoriamente.
Credential stuffingé um tipo de ataque no qual hackers testam automaticamente combinações de nomes de utilizador e passwords extraídos de alguma filtração de forma a conseguir o acesso a uma determinada conta.
Os utilizadores afetados por esse ataque já foram contatados pela empresa, que forneceu suporte personalizado aos mesmos. Segundo publicação da ZDNet, que teve acesso aos e-mails enviados aos clientes afetados, o ataque em alguns casos parece ter sido bem-sucedido e os hackers conseguiram acesso a um certo número de contas.
No mesmo e-mail, a DailyMotion envia um link para que os utilizadores possam alterar as suas passwords e recuperar o controlo das suas contas.
De acordo com um estudo publicado em 2018 pela Shape Security, entre 80% e 90% das tentativas de acesso a serviços de retail online estão relacionadas com ataques de credential stuffing.
Este ataque sofrido pela plataforma de vídeo mais usada depois do YouTube e do Vimeo, com 100 milhões de visitas por mês, ocorreu coincidentemente no mesmo mês em que se tornou público a filtração de 773 milhões de endereços de e-mail e 21 milhões de passwords. Felizmente para os utilizadores, as informações desta extensa lista denominada Collection #1 foram publicadas no site Have I Been Pwned, onde é possível verificar se o seu endereço de e-mail e password fazem parte desta ou de outras falhas de segurança nas quais foram filtrados nomes de utilizador e passwords.
Para evitar ser vítima deste tipo de incidente de segurança, que afeta os serviços que usamos ou nos quais já criámos uma conta, é cada vez mais recomendável usar a autenticação de dois fatores caso a plataforma ofereça essa opção e lembre-se de que não é bom reutilizar passwords.