BitTorrent e Twitter: Atenção, milhões de contas roubadas
O dia de ontem terminou com muita confusão no que toca à informação sobre roubos de contas, sites atacados e venda de credenciais do Twitter e anunciados na própria rede social.
Começamos pelo fórum da comunidade uTorrent. Este foi atacado e foram expostas milhões de credenciais dos utilizadores. De acordo com o TorrentFreaks, a BitTorrent, dona do uTorrent, teve conhecimento de uma falha de segurança no dia 6 de junho e o fórum foi "hackeado", tendo sido roubadas 300.000 contas.
Fórum uTorrent atacado
A comunidade BitTorrent foi atacada e a informação privada de milhares de utilizadores foi roubada e está a ser anunciada a sua venda no Twitter. Segundo informações, além das contas roubadas desta comunidade, estão também à venda 32 milhões de contas, na Dark Web, onde constam nomes, e-mails e muita outra informação privada dos utilizadores. Informação essa relacionada com muitos outros serviços.
O BitTorrent tem um dos clientes torrent mais usados do planeta e conta com mais de 150 milhões de utilizadores activos mensais. A auxiliar a sua actividade, a comunidade tem um fórum com dezenas de milhar de visitantes diários e conta com milhares de registos na sua base de dados.
A equipa do uTorrent, projecto que faz parte da empresa BitTorrent Inc, alertou no início desta semana para problemas na sua plataforma. Segundo consta a falha não teve origem directamente no fórum do uTorrent:
The vulnerability appears to have been through one of the vendor’s other clients, however it allowed attackers to access some information on other accounts. As a result, attackers were able to download a list of our forum users.
Se é um utilizador desta plataforma, sugere-se que troque imediatamente de palavra-passe.
Twitter pode ter contas comprometidas
Segundo o site LeakedSource.com, um hacker russo, de seu nick Tessa88@exploit.im, alega ter em sua posse dados pessoais de mais de 32 milhões de utilizador do Twitter. Consta que tem os nomes de utilizador, as respetivas palavras-passe e está a vender estes dados pelo preço de 10 bitcoins, que à cotação actual serão cerca de 5.800 dólares.
To help keep people safe and accounts protected, we've been checking our data against what's been shared from recent password leaks.
— Twitter Support (@Support) 6 de junho de 2016
Pelas informações veiculadas, poderão estar em causa recolhas de dados através de malware e não de ataques directos à base de dados do Twitter. A própria empresa veio já reclamar a situação:
We are confident that these usernames and credentials were not obtained by a Twitter data breach – our systems have not been breached. In fact, we’ve been working to help keep accounts protected by checking our data against what’s been shared from recent other password leaks.
São exactamente 32 888 300 registos que fazem parte da base de dados à venda, o que significa quase 10% dos utilizadores activos do Twitter. Esta recolha poderá ter sido efectuada através de um esquema de malware recorrendo aos browsers Google Chrome e Firefox.
We have investigated reports of Twitter usernames/passwords on the dark web, and we're confident that our systems have not been breached.
— Michael Coates ஃ (@_mwc) 9 de junho de 2016
Esta situação vem depois do caso do criador do Facebook, Mark Zuckerberg ter visto as suas contas das redes sociais, não Facebook, sido atacadas, incluindo o Twitter, onde foi ridicularizado o facto do cérebro por trás da maior rede social do mundo usar uma palavra-passe ridícula “dadada” nas suas múltiplas contas das redes sociais.
Facto curioso
Os dados recolhidos e apresentados no site LeakedSource mostram que as pessoas estão a ficar cada vez menos criativas no que toca à sua segurança e no que toca à criação de uma palavra-passe. Segundo o que pode ser visto, a palavra passe mais popular, apresentando 120 417 registos é a “123456” e a outra famosa palavra-passe, "password” aparece 17 471 vezes. Veja aqui quais as passwords que os utilizadores usam mais.
Facilmente estas palavras-passe são testadas quando um hacker, candidato a hacker ou um "adolescente curioso" tenta entrar na conta de alguém. Pense nisso.
Este artigo tem mais de um ano
Não tenho conta no BitTorrent nem no Twitter.
Tenho que me preocupar ?
Já somos dois…
O Twitter para já, de seguro nunca teve nada, eu e várias pessoas que conheço, que ficam 1 mês sem usar a rede social, começamos a receber emails de seguidores Árabes, como se alguém estivesse a aceder à conta.
Em relação ao utorrent, só tenho pena de não ter eliminado a minha conta mais cedo nessa escória.
Trocado. Vou começar a usar passwords insultuosas 🙂
+1
O problema nestas coisas não é tanto as contas ficarem comprometidas. O problema maior é que cada “leak” destes só vai engordar os “dicionários” de passwords utilizados pelos crackers. Uma vista de olhos neste artigo da ArsTechnica pode ajudar a esclarecer a gravidade do problema: http://arstechnica.com/information-technology/2013/06/the-secret-to-online-safety-lies-random-characters-and-a-password-manager/
A gravidade do problema foi eu ter tentado cancelar a conta á 4 meses e ainda continuo a receber e-mails…
Acho que descobri uma ideia fantástica, vou apagar os posts, alterar nome, pass etc, e colocar lá o mail do twitter, assim vão engolir o próprio spam! Parece-me bem 🙂