Proponha uma correção, faça uma sugestão
773 milhões de e-mails e passwords divulgadas na Internet, verifique já o seu
A 22 de setembro de 2016 assistimos à divulgação de 500 milhões de e-mails e passwords pela Yahoo. Na altura, e até então, este foi o maior escândalo de fugas de informação ao pôr em risco este enorme volume de contas.
Agora, mais de 773 milhões de e-mails e passwords estão disponíveis na Internet. O novo caso supera em larga escala o da Yahoo e para além do email, foram também divulgadas 20 milhões de passwords.
Verdade seja dita, nas lides da Internet, a cada passo temos um novo escândalo deste género em mãos. Os ataques informáticos às empresas e respetivas bases de dados são frequentes e desta vez o saque foi muito considerável.
“Collection #1” é o maior “roubo” de e-mails e passwords da história!
O novo caso já tem nome. Apelidado de “Collection #1”, foi descoberto na plataforma MEGA. Aí o perito em cibersegurança, Troy Hunt, deparou-se com um portefólio de 12 mil ficheiros.
Trata-se de uma quantidade massiva de informação, perfazendo um total de 87GB de dados. Ora, visto que estamos aqui a falar principalmente de ficheiros de texto (.txt), a escala desta fuga de informação é deveras alarmante.
Infelizmente, agora ainda não se sabe como é que toda esta informação foi parar ao MEGA. Entretanto, de acordo com a mesma fonte, esta coleção de credenciais já foi removida da plataforma de alojamento e partilha de ficheiros.
Contudo, alerta ainda que a panóplia de ficheiros da “Collection #1”, continuam a ser partilhados. Sem nomear fontes, afirma que os ficheiros continuam a circular em fóruns e sites dedicados a áreas menos lícitas.
Em suma, temos milhões de contas de email sujeitas ao escrutínio alheio. Note-se que não foi só ID do email (nome da conta) a ser divulgado, mas também milhões de passwords.
Por conseguinte, apurando a escala do novo caso, esta já pode ser considerada a maior ocorrência do seu género. Há aqui um real risco de serem afetadas milhares de milhões de contas de email.
Como posso saber se o meu email foi afetado pelo Collection #1?
Caso tema pela segurança da sua conta e queira saber se os seus dados figuram na “Collection #1”, o perito de cibersegurança já nos providenciou com uma ferramenta ad hoc.
Para tal basta aceder ao seu site Have I been Pwned. Aí poderá apurar se os seus valiosos dados constam, ou não, da mais recente vaga de furto de credenciais.
O que fazer se o seu email for afetado?
Através desse site poderá saber se o seu e-mail foi um dos afetados pela ação dos piratas. Contudo, este site não lhe dirá se a sua password consta, ou não, do lote de 20 milhões de passwords furtadas.
Assim sendo, caso o seu email acuse positivamente nesta ferramenta, mude imediatamente a sua palavra-passe. Faça-o em todas as suas contas para evitar um possível acesso cruzado.
Em suma, a melhor solução será alterar de imediato todas as suas passwords. Para tal deverá utilizar uma nova combinação de caracteres maiúsculos, minúsculos e de preferência com alguns algarismos.
Não se esqueça que até mesmo o seu Facebook, Twitter, Instagram e demais redes sociais dependem do seu email para salvaguardar os seus dados. Assim sendo, mesmo que não utilize frequentemente o seu serviço de correio eletrónico, não se coloque as suas informações e dados pessoais em risco!
Por fim, faça o que fizer, não utilize uma das passwords listadas abaixo:
Este artigo tem mais de um ano
Loading ...
Ora bem, o email que usava quando tinha 10 anos está presente na Collection #1 xD felizmente o meu atual está limpo.
Todas aquelas memórias… #trowback
Por isso é que há um 2 meses criei uma conta na ubisoft e entretanto recebo emais da ubisoft a dizer que tenho ips do dubai da india a entrarem na minha conta…
Supostamente tenho o meu email do GMAIL PWNED, por acaso tenho o acesso em dois passos, ou seja, recebo sempre um pedido no tlm, quer seja sms ou permissão através de impressão digital.
O meu também aconteceu o mesmo…
O facto de teres o teu email no pwned, não quer dizer que tenha sido a password do teu email que eles descobriram. Provavelmente acederam à base de dados de um site em que te escreveste com esse email…
isto
Era isso mesmo que ia escrever.
Tenho 7 breaches na lista nos últimos 8 anos e nunca mudei a password nem nunca tive problemas.
Pelo sim pelo não vou mudar agora mesmo, mas a regra numero 1 é NUNCA usarem a password do email num serviço em que se registam com esse email.
O meu está lá com 2 branches… tive acesso ás 2 listas que lá são referidas, em NENHUMA está a password.
No Disqus, tem a password que usei para me registar em 2012, já não é a actual.
Na outra é este Collection#1, a base de dados são mais de 50 milhões de ficheiros. O meu mail está em 2 ficheiros: Disqus e Spambot (2017). Em ambos só há referência ao mail (no caso do disqus está lá a password) e nick registados, mais nada.
Tal e qual !
Fui pesquisar e a password tb era referente ao Disqus…
No entanto, meti apenas o meu email na pesquisa do google e fui apanhar o meu email com uma password, não é a password de acesso ao meu email mas tb ñ me lembro de q acesso é, no entanto atualmente nas aplicações/sites q uso não tenho essa password.
Onde é que vocês vêem as listas onde estão os e-mail e password? O meu aparece acho que 7x e queria confirmar onde
Pwned or Pounded ? Eheh
Pode não ser o acesso e a pass do e-mail que está comprometida, podem ser contas criadas noutros sites com esse e-mail.
E assim com este arcaico site chamado “I have been pwned” e juntando esta fabula de roubo de passwords e uns quanto screenshots , se cria uma boa base de dados de e-mails pra vender as empresas de publicidade que os compram para espalharem o seu spam. E vai na volta aqui o pplware também tem algo a lucrar com isto. So tenho pena de não ter sido eu a lembrar-me de fazer uma coisa destas. De louvar!
É muito mais fácil roubar bases de dados do que esperar que as pessoas vão a um site digitar os seus e-mails.
Sim, em 2019 ias ficar rico com este negócio não haja dúvida.
Ainda para mais uma base de dados que tem (à partida) apenas uma coluna: “EMAIL”. Muito útil.
Hmmm, ta visto que percebes bastante da coisa Hugo, nem me atrevo a contra-argumentar. E ja agora também tens la outra secção pra introduzires as tuas passwords, algo que será também extremamente inútil não tenho duvidas, mas la esta, isto são tudo coisas que eu vou pensando e dizendo com o conhecimento que tenho, que tenho de admitir, é extremamente limitado.
Hugo, a publicidade serve para que? Newsletters sabes o que é? Emails subscritos? Publicidade e Marketing via email? Spam? Anuncios? Phishing? Tens a certeza que não ias ficar rico? Pensa la, um esquema de Phishing via email de bancos enviados para mais de 200.000 emails, desses 200.000 imagina se 1500 pessoas caiem no esquema e metem as pass e a autenticação do banco…
Em 2019 certamente não ias ficar rico, não… com as passwords de bancos e se la tiver dinheiro ias é ficar pobre pelos vistos!
Nao sabes do que falas.
No artigo.
“But what many people will want to know is what password was exposed. HIBP never stores passwords next to email addresses […] in short, it poses too big a risk for individuals, too big a risk for me personally and frankly, can’t be done without taking the sorts of shortcuts that nobody should be taking with passwords in the first place! But there is another way and that’s by using Pwned Passwords.”
Essencialmente, tens um site que apenas podes pesquisar por email que tem acesso a apenas emails comprometidos e um outro em que diz se a tua password existe numa outra base de dados de passwords sem nenhuma relacao com a dos emails e em sitios distintos.
Eu sigo o Troy há imensos anos. Ele até quando estava a construir o website fez posts de blog a detalhar o que fez e como fez e como implementou tudo. Desde bots no twitter que fazem follow a leaks. A bots que sniffam o pastebin etc para agregar toda esta informacao.
O site nao é arcaico. Faz exactamente o que é preciso e nada mais. Ele pagava do bolso dele (até recentemente, pois o 1password patrocina-o), e até faz integracao com agencias de autoridade e empresas de grande escala (sem gastos para as empresas), para que o servico atinja o maior numero de utilizadores possiveis e os salvaguarde.
Sempre que há 1 artigo a referir o “i have been pwned ” há sempre alguém a dizer isto.. enfim
Desde o começo deste ano que passei a receber imenso SPAM no mail (10 mails desses por dia). Agora vejo que o meu e-mail consta dessa lista
Provavelmente inscreveste o mail nalgum concurso ou site que vende os dados para spam.
O meu do hotmail também estava, fui ver o registo de atividade e vi lá à 15h atrás na russia (Sincronização sem êxito)
… NA RUSSIA!?!?!?!?!, oh meu deus, cuidado com os mísseis!!!!!!!!!
A mim houve tentativas no Vietname e EUA, mas não passaram de tentativas… por isso nem devem ter a password.
Também me aconteceu o mesmo, todos com sincronização sem êxito, com IP’s do Japão, da Suíça, da Argentina e da Coreia, não especificando qual delas, se a do Sul se a do Norte. As tentativas ocorreram entre od dias 30 de Dezembro de 2018 e 1 de Janeiro de 2019.
Diz que os meus dois emails foram afectados mas os sites apresentados nunca lá tive conta…LOL!
Troy Hunt e nao Tim Hunt…
Sigo o blog dele há vários anos.
Protejam-se como puderam e sejam sensatos! Mas pessoalmente acho que o melhor mesmo é fazer as pazes com o facto de que, não existe um método infalível de passear seguro neste beco escuro e duvidoso que é a net. Não são só os sites porno, torrents, pirataria… Todos estão vulneráveis a uma data breach. O ultimo que tenho conhecimento, foi relativamente recente, mas não sei se a Pplware cobriu a noticia, é o ataque phishing à verificação 2 passos da Google e da Yahoo… Portanto, é apenas uma questão de tempo até _______ (Inserir aqui o método de segurança preferido) ser violado! P.S.: Um dos meus endereços principais, e mais antigo (Primórdios do Gmail), que tentei manter o mais seguro possível supostamente foi comprometido pela data breach sofrida pela Adobe em 2015! Outro, daqueles que criamos para descartar, (Isto também supostamente) tem uma lista pwned do tamanho de uma folha A4. Todos eles de sites minimamente confiáveis!
Eu não tenho nada pwned 🙂
Tenho os meus dois e-mails pessoais afectados, vou alterar as passwords!
Aparece la um mail meu com uma pass de ha 5 anos atrás.
Diz que está pwned mas na realidade n está.
Para além da autenticação em dois passos estar activa
Onde vêem essa informação?
A mim só aparece a lista dos sites expostos, cujo email lá tinha registado.
Só se procurares nas listas. Em sites de torrents encontras as listagens.
O Collection#1 que aqui falam e aparece no Pwned tem mais de 50 milhões de ficheiros. Os 5 maiores são do Facebook e Twitter. Depois há outros sites em que pedem o email para registo. É daí que o pwned te diz que o teu mail está lá numa das listas.
depois o culpado e o rui pinto
86GB em .txt… :O
Não são todos txt. Há lá muitos html e cookies. Para além de bases de dados Access e até está uma em superbase4 que já deixou de ser usado há 18 anos atrás. 😀
Escrevam uma coisa qualquer (em inglês) e está pwned…
really ->pwned
treta -> not pwned
bullshit -> pwned
Muito util…
deves ter ido ao subsite das passwords e nao dos emails
https://haveibeenpwned.com em vez de https://haveibeenpwned.com/Passwords
E sao emails nao palavras.. e presumo que ele faça um Like não um match exato
Pwned on 3 breached sites and found no pastes
Só vos digo uma coisa, é todos os anos a mesma historia…
So muda a capa
+1
mais uns que querem ganhar mais uns cobres a custa dos papalvos que vão já a correr comprar ou instalar mais qualquer coisita,faz-me lembrar a historia dos assaltantes de casas que tambem instalavam alarmes…
Tenho 3 emails, e aparecem os 3 na lista, mesmo 1 deles sendo só para uso pessoal.
E onde esta o link, para acederemos a esses ficheiros TXT!?
Se queres ser criminoso procura outro tipo de sites.
Mas o segredo é nunca usar a password do e-mail, paypal, (coisas importantes) em outros sites.
A senha do meu e-mail é só para o meu e-mail.
A senha do meu paypal é só para o meu paypal. Igual ao e-mail que só uso para o paypal.
Sempre todo o cuidado é pouco.
Esse site https://haveibeenpwned.com/ é uma treta do caraças, então ele diz que um dos meus segundos emails o seguinte:
(Oh no — pwned! Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)
Ora, se o meu email foi encontrado num site qualquer, porque é que eles não indicam quais são? Ou qual é? Essa ferramenta é duvidosa, e ainda para mais. Como é que eles tem acesso a todos os “leaks”? Da noite para o dia? E estou a referir-me a leaks “frescos” como é que eles as obtêm?
Para mim esta ferramenta, tem algo “misterioso”, no meu ponto de vista. Acredito que não passe de apenas um site a tentar ganhar dinheiro a nossa pala de forma indireta (com publicidade) tipo aqueles sites onde dizem que vão por dinheiro no jogo onde introduzes um email e ele fica a fazer “loading” durante bastante tempo ou uma mensagem “falsa” tudo para recolher emails nesses tempos (eu não cai, mas no meu tempo existia por exemplo coins hacks sites falsos cujo o objetivo era fazer email collecting)
Esse site I have been pwned, para mim não passa de um site sem qualquer tipo de fundamento. Se encontram o nosso email, porque não indicam onde? No meu não indica! Tretas…
Aprende a fazer scroll que ele diz no fundo qual foi.. Eu sei do que digo que estou em 15 breachs e estão lá todos listados incluindo alguns fóruns mais pequenos onde realmente tinha conta
Aprende a fazer scroll? E tu achas que não fiz isso? Não aparece nada. Aprende a ler! Isso é que é preciso. Antes de mandares aprender a fazer scroll, aprende tu a ler e interpretar o texto, não sabes interpretar um texto? Vá eu ajudo
«Se encontram o nosso email, porque não indicam onde? No meu não indica! »
No meu não indica, diz-te algo espertalhão? Aprende mas é a interpretar português, e saber o significado de “não indica” era uma mais valia.
Não acredito, o site diz sempre onde é. Só acredito se vir. Se te sentires à vontade partilha o e-mail que eu vejo com os meus olhos se quiseres usar o meu numigofe[@]gamil.com (está errado de propósito para os crawlers não indexarem)
És o único a quem não diz nada? Hum..estranho não?
Find “sakura”
Oh no — pwned!
Pwned on 9 breached sites (subscribe to search sensitive breaches),,,,,,,,,,,,,,,,, LOL.
Portanto lol pk? Existe em 9 BDS emails que contém Sakura no endereço.. lol….. Lol é levar segurança informática na brincadeira.
No mínimo verificar o “input” É um email valido?
Como eu não tenho estou no PC não consigo fazer inspect mas faz sentido em vez do input ser e-mail ser texto assim por exemplo podes verificar de uma só uma só vez um domínio que sejas admin por exemplo. @dominio.xpto isto para organizacoes é top.
é que nem vou dormir por causa disto…
Do meu lado…clean!!!
No site de verificação numa página verificação o e-mail, na outra verificas a password…. bem pensado..
Estava a pensar o mesmo, é bem jogado sim sr.
Teoria da conspiração: será que ao pesquisar pelo nosso e-mail não estamos a adicionar o nosso e-mail para futuras bases-de-dados?
Mas é claro que estas, ou pensas que email collecting não é bom? Ideal para empresas de Marketing e Publicidade, especialmente Spammers e Hackers.
Estas listas de email serviriam apenas para enviar spam, pois não serve para fazer qualquer tipo de publicidade direccionada.