Pesquisadores da 4iQ, empresa de segurança digital que monitora diariamente a deep web (também conhecida como dark web), revelaram nesta semana, 12/12, terem encontrado um banco de dados coletivo com mais de 41GB de arquivos roubados. Entre esses arquivos estavam senhas de diversas plataformas como Netflix, LinkedIn, Badoo, MySpace, Bitcoin, Minecraft, RuneScape, etc.
O vazamento inclui dados que já haviam sido expostos anteriormente, mas também arquivos nos quais hackers nunca tinham posto as mãos. Segundo Julio Casal, fundador e diretor de tecnologia da 4iQ, o número de credenciais expostas é duas vezes maior que o maior ataque de que se tinha notícia até então, a lista que ficou conhecida como Exploit.in, com 797 milhões de registros. O arquivo inclui esses dados previamente revelados, além de outros 252 diretórios do tipo. Além disso, adiciona 133 blocos de informações — ou 385 milhões de pares de login e senha —, se tornando o maior do tipo. A empresa estima que 14% das informações reveladas são novas.
As informações vazadas se encontram em ordem alfabética, sem criptografia e organizada em 1.981 grupos, o que facilita as buscas. Segundo um texto publicado por Julio na plataforma de blogs Medium, basta um segundo para encontrar uma informação no banco de dados. Praticamente como em uma busca no Google.
Como saber se a minha senha foi roubada?
Uma das maneiras mais simples de checar se a sua senha foi roubada neste ou em outros episódios é visitando o site “Have I been Pwned?“, criado por Troy Hunt, um especialista em segurança australiano que já recebeu por 5 vezes o prêmio Microsoft MVP (Most Valuable Professional), que reconhece profissionais que atuam em favor da comunidade.
Basta digitar o seu e-mail ou usuário e clicar em “pwned?”. O site cria um relatório informando se o endereço consta em algum dos vazamentos. Também é possível se cadastrar, para ser informado caso os seus dados sejam comprometidos em um futuro vazamento de informações.
Mesmo que o seu e-mail não conste na lista de vazamentos, a recomendação de especialistas é trocar de senha periodicamente. Vale também rever as perguntas secretas, como “qual é o nome da sua mãe?”.
Como me proteger de vazamentos como este?
Segundo os especialistas responsáveis por descobrir o vazamento, os dados presentes no banco eram provenientes de ataques como phishing. Postamos recentemente, aqui no blog, 10 dicas para se manter seguro online durante a Black Friday. Apesar da data em específico já ter passado, as dicas continuam válidas para serem aplicadas como forma de proteção.
Outra dica é adotar medidas extras de segurança, como a verificação em dois passos. Esse tipo de ferramenta adiciona uma etapa no processo de login, exigindo um código extra, enviado pelo celular, para liberar o acesso. Na prática, isso impede que um criminoso com acesso apenas à sua senha consiga entrar na sua conta.