Mais de 700 milhões de emails vazam na Internet. E agora?

17 jan 2019

O especialista em privacidade e segurança Troy Hunt publicou hoje um post sobre o famoso Collection #1 — uma base de dados com mais de 700 milhões de endereços de e-mail e mais de 1,1 bilhão de pares únicos de login-senha. Explicaremos a seguir em que poderia afetá-lo e o que pode ser feito a respeito.
Vazamentos e violações de dados são reais e acontecem às vezes em grande escala. Os cibercriminosos coletam as informações vazadas e criam base de dados com logins e senhas. Alguns deles tentam adicionar informações de cada roubo de informações sensíveis a esses bancos, esforço que resulta na criação de bases de dados gigantescas como o Collection #1, recentemente analisado por Troy Hunt.

Isso não é apenas um vazamento monstruoso (como o que aconteceu com o Yahoo! com bilhões de credenciais de usuários roubadas) é, em vez disso, uma coleção que compila informações de mais de 2 mil vazamentos diferentes, alguns deles de 2008, e outros mais recentes.

Surpreendentemente, o Collection #1 não parece incluir logins e senhas de vazamentos famosos como o caso do LinkedIn que ocorreu em 2012 e das duas violações do Yahoo (Acesse aqui o nosso post sobre a primeira, e aqui a publicação sobre a segunda).

Meus dados estão no Collection #1?

Para saber se alguma das suas credenciais está na base de dados, acesse haveibeenpwned.com. Digite o endereço de e-mail ao qual suas contas estão associadas — e poderá pesquisar se foi incluído em qualquer uma das bases de dados hackeadas que o site conhece.

Se o seu e-mail fizer parte do Collection #1— haverá uma entrada relacionada a isso no haveibeenpwned. Se não estiver lá, você tem sorte e não há nada que precise fazer. Mas caso esteja, é aí que começa a parte complicada.

O que devo fazer se minha conta estiver lá?

Se o seu e-mail estiver lá, é certamente um sinal de que você precisa fazer alguma coisa. No entanto, o serviço não informa qual das suas contas vinculadas a esse e-mail foi violada. Foi uma conta em um fórum de criptomoeda, de uma biblioteca online, ou quem sabe de uma conta de comunidade de amantes de gatos? Dito isso, há duas opções, dependendo se você está usando uma única senha em vários serviços ou não.

Opção 1: você estava usando uma senha para várias contas associadas a esse endereço de e-mail. O caso ficou mais complicado! Para garantir a segurança, acesse essas contas e altere as senhas. Não se esqueça que essas senhas precisam ser longas e únicas. Acho que, como você está acostumado a lembrar apenas de uma, tentar memorizar várias novas seria praticamente impossível. Por isso, provavelmente é uma boa ideia usar um gerenciador de senhas.

Opção 2: você estava usando senhas únicas para cada uma das contas associadas a esse e-mail. Boas notícias: vai ser um pouco mais fácil. Claro que você também pode alterar todas as suas senhas, mas não precisa. Você também pode tentar descobrir quais foram expostas usando outro recurso do hasibeenpwned chamado Pwned Passwords.

Você poderá digitar a senha de uma das suas contas e comprovar se ela foi mencionada na base de dados de haveibeenpwned com as senhas hackeadas – em texto simples ou em hash. Se você ver que essa ou outra senha apareceu no haveibeenpwned pelo menos uma vez, será necessário alterá-la. Se não aparecer, então é seguro. Em seguida, prossiga para a verificação de outra senha.

Claro, que fazer isso significa confiar na haveibeenpwned, e a maioria das pessoas não tem absolutamente nenhuma razão para isso. Por esse motivo, você também pode colar um hash SHA-1 da sua senha— e isso possibilitará a obtenção de praticamente o mesmo resultado. Existem vários recursos online que fazem hashes SHA-1 para qualquer informação que você fornecer (joguei no google para você). Dessa forma, sua senha não será exposta no haveibeenpwned, por isso não há razões adicionais para se sentir paranoico.

Conselhos para se manter longe da maioria dos vazamentos

Temos visto inúmeros vazamentos nos últimos anos e é seguro presumir que muitos deles ainda irão acontecer no futuro. É por isso que novas bases de dados grandes, como o Collection #1, continuarão aparecendo de tempos em tempos, e os cibercriminosos terão prazer em usá-los para tentar invadir as contas das pessoas. Para minimizar os riscos, recomendo que você siga as instruções abaixo:

  • Use senhas longas e exclusivas para cada conta. Dessa forma, se um serviço for hackeado, você precisará alterar apenas uma senha.
  • Ative a autenticação de dois fatores sempre que possível. Isso dificulta que hackers acessem a sua conta, mesmo que eles consigam obter seu login e senha.
  • Use soluções de segurança como o que pode alertá-lo sobre violações recentes.

 

  • Use um gerenciador de senhas que possa ajudá-lo a criar inúmeras senhas únicas e fortes, sem necessidade de memorizá-las. Os gerenciadores de senhas também podem ser úteis quando precisar alterá-las de forma rápida e segura. Kaspersky Password Manager gerencia essas duas tarefas com eficiência.