Pplware

Hacker divulga 100 milhões de palavras-passe! Saiba se suas credenciais foram comprometidas

Hoje em dia, toda a gente usa plataformas de e-mail, lojas online, serviços de streaming, aplicações móveis, entre muitas outras. Embora muitas vezes nos possamos sentir seguros, existe uma certa probabilidade de algumas das nossas credenciais acabarem por ser divulgadas. Pois bem, desta vez, foram mais de 100 milhões de palavras-passe partilhadas por um hacker.


De um modo geral, a partilha de palavras-passe pode acontecer devido a um incidente do nosso lado ou envolvendo as empresas em que confiamos.

Ao longo dos anos, temos assistido à circulação de milhões de palavras-passe, o que levou a Google e a Microsoft a adicionar ferramentas para verificar se as palavras-passe armazenadas no browser foram comprometidas.

Esta semana, surgiu uma nova compilação maciça de dados que circulam gratuitamente em fóruns frequentados por cibercriminosos. Trata-se de 71 milhões de endereços de correio eletrónico e 100 milhões de palavras-passe armazenadas em texto simples.

33% das palavras-passe divulgadas são completamente novas

A fuga de informação foi revelada por Troy Hunt, um analista de cibersegurança que, há alguns anos, criou o website Have I Been Pwned para ajudar a identificar dados que tenham sido divulgados. Hunt explica que recolheu amostras do enorme ficheiro de 104GB para obter alguns detalhes sobre o mesmo.

Após numerosos testes, alguns dos quais envolveram a cooperação das vítimas, concluiu que a compilação contém endereços de correio eletrónico e palavras-passe reais, mas com uma diferença: parece haver muitas palavras-passe antigas.

Hunt também descobriu que 67% dos dados já tinham sido incluídos no Have I Been Pwned, mas os restantes 33% eram completamente novos. De qualquer forma, são milhões de palavras-passe ao alcance dos cibercriminosos, um problema que pode ser agravado em alguns cenários.

Não é apenas um serviço que está em jogo…

Enquanto alguns serviços incentivam os utilizadores a alterar as suas palavras-passe após um determinado período de tempo, outros não o fazem. A este respeito, é provável que haja pessoas afetadas cujas palavras-passe tenham um bom número de anos.

A reutilização de palavras-passe também entra em cena, uma prática muito comum que pode ser explorada por agentes maliciosos. Uma vez que os endereços de e-mail também foram divulgados, a fuga de uma palavra-passe reutilizada pode abrir a porta a um compromisso de segurança noutros serviços.

Como dissemos, todas as palavras-passe divulgadas foram adicionadas a um serviço chamado Pwned Passwords, que permite aos utilizadores verificar se foram divulgadas. Trata-se de uma ferramenta de código aberto dos criadores do Have I Been Pwned que promete proteger a privacidade.

O Pwned Passwords funciona da mesma forma que o Have I Been Pwned. Na box que aparece no website, tem de escrever a palavra-passe que pretende verificar. Depois disso, a ferramenta dir-lhe-á se a palavra-passe foi exposta. Se tiver sido, a primeira coisa que deve fazer é alterá-la.

Note: embora o Pwned Passwords tenha sido desenvolvido por pessoas bem conhecidas no mundo da cibersegurança, e os detalhes do projeto estejam disponíveis publicamente, os utilizadores devem utilizar esta ferramenta por sua conta e risco.

 

Leia também:

Exit mobile version