PplWare Mobile

Lista gigante com dados de polícias, políticos, militares e bancos


Responsável pelo Pplware, fundou o projeto em 2005 depois de ter criado em 1993 um rascunho em papel de jornal, o que mais tarde se tornou num portal de tecnologia mundial. Da área de gestão, foi na informática que sempre fez carreira.
Artigo escrito por Tomás Santiago para o Pplware

Destaques PPLWARE

  1. poiou says:

    “Apesar de tudo, de acordo com a CEGER, os dados roubados não permitirão aceder à rede informática do Estado Português pois, mesmo que o e-mail do trabalho tenha sido utilizado para registo nas redes sociais, as passwords roubadas não cumprem os requisitos da plataforma.”

    Srs da CEGER, porquê? Não é possível comprometer um email profissional com essas passwords e desse modo, via engenharia social, obter passwords de sistemas críticos? (até porque regra geral, nos servidores de email empresarial, os emails entre elementos da empresa têm menores restrições de segurança)

    • XYZ says:

      Os emails entre elementos normalmente até podem ter menos segurança, mas por exemplo, onde trabalho temos:
      De alterar a password a cada 60 dias; é necessário configurar um proxy e outras cenas para podermos usar o email. O email é do outlook mas tem um nome especifico, nao é fulano@outlook, é fulano@nome da empresa, mas para todos os efeitos é outlook e recebe emails de todos os lados e envia para todos os lados,mas sem estar ligado ao servidor e ter a aplicacao outlook configurada, nao é possivel entrar no email (e certamente nao entras ao ir para o outlook.com e escreveres o login, diz que nao existe, sei porque ja tentei).

      Entao: para quê passwords fortes?

      Digo mesmo que a minha password lá é asd123 e quando altero é entre essa e qwe123

  2. diogo says:

    Sinceramente isto não é de admirar, é preocupante o nível tão baixo de segurança no foro do estado, com muitos servidores obsoletos e esquecidos espalhados “por aí”…

  3. Marco says:

    Agora Reddit é Dark Web?

    Este dump é uma junção de vários data leaks que aconteceram nos últimos anos, e alguns novos. Podem ler uma analise ao dump aqui https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14

    Recomendação: Registem os vossos emails em https://haveibeenpwned.com para ser notificados se o vosso email/password podem ter sido expostos.

    • Daniel says:

      É giro dizer dark web.

    • Vítor M. says:

      Marco, coloca o link para a lista que tem os nomes dos citados no artigo, essas tais listas portuguesas.

      em relação à recomendação, não registem nada, agarre nos vossos serviços e mudem as palavras passe, ativem os dois passos de autenticação e não coloquem o vosso email em lugar nenhum. Esses sítios, desde que ficaram populares, deixaram de inspirar confiança.

      • Marco says:

        Não há listas portuguesas, há dumps globais, que contêm dados de pessoas portuguesas, como *.gov.pt, *.gov.uk, etc etc. As listas que o artigo fala são a exploit.in e antipublic, que com 5 minutos no google são fáceis de obter.

        Sobre a Recomendação, volto a dizer, registem no https://haveibeenpwned.com, é o único site de confiança que existe, feito pelo Troy Hunt. O registo é serem notificados, n há passwords envolvidas no processo.

      • Marco says:

        As listas mencionadas são a exploit.in e antipublic, não existem listas portuguesas. Essas listas contém centenas de milhões de emails e passwords, de vários serviços (Linkedin, Dropbox, Yahoo, etc). Com essas listas é fácil obter os emails de um dominio, por exemplo emails que sejam *.gov.pt. (Tal como de outros paises)

        O haveibeenpwned.com é o único lugar de confiança para isto, o registo é simplesmente dizer, notifica-me se o meu email aparecer, não ha passwords envolvidas.

        • Rui Costa says:

          E ofereces o teu email para mais uma lista. Tu garantires que o serviço é de confiança….LOL

          • SamBaS says:

            Olha que pegar emails em massa não é assim tão difícil!:)
            xxxx/search_email_collector…

          • Marco says:

            Eu estou perfeitamente descansado em o haveibeenpwned.com do Troy Hunt ter o meu email. Não ha passwords envolvidas 🙂
            Recomendo que faças um search sobre quem é o Troy Hunt e o impacto dele na comunidade de segurança 😉

  4. Mota says:

    Continuem a retirar orçamento aos departamentos IT.
    Que há falha humana, à partida, há sempre mas cada vez mais esta área é descredibilizada pelos “cães grandes” agora está à vista.

  5. Filipe Serra says:

    Uma vez registei-me num portal do governo, já não me lembro bem qual era. Tive um problema com a minha conta e enviei um email para o apoio. A senhora que me respondeu, de forma a confirmar a autenticidade do meu contacto responde-me: “Boa tarde. Pode confirmar que o seu utilizador é (taltaltal) e a sua password é (blahblahblah)?” Ou seja o utilizador ok, deve ser público, mas ela perguntar-me se a minha password é aquela (que era!), nem cifrada estava, não sei como é que ela tinha acesso àquilo.

    Foi estranho.

    • Joao ptt says:

      Por acaso já me dei ao trabalho de testar as recuperações de senha e por exemplo na Google tenho algumas 6 maneiras de recuperar a senha… eles realmente não querem que ninguém fique de fora… qualquer informação quase que serve para recuperar o acesso à conta… introduziram o modo “Advanced Protection Program” mas continuam a permitir recuperação de acesso à conta… logo continua a exitir maneira de ultrapassar a protecção… só demorar mais uns dias se não tiverem a coisa bem feita.

      Os segundos factores de autenticação muitas vezes tornam-se o primeiro factor de autenticação com senhas a serem enviadas para o e-mail e/ ou para os telefones que toda a gente sabe que são muito seguros ahah Ou o código que deveria ser o segundo factor do gerador de códigos a passar a ser o que é necessário para ser reconhecido como o dono da conta. Enfim, raramente os web sites/ serviços onlines têm políticas de recuperação de acesso à conta realmente seguras mesmo quando têm segundos factores de autenticação.

      Outros é tudo muito seguro online mas depois liga-se para a assistência técnica e com dados que os atacantes conseguem recolher um pouco por todo o lado de bases dados furtadas anteriormente e informações públicas conseguem ter acesso à conta na mesma.

      Por tanto poucas ou nenhumas empresas são 100% à prova de terceiros os enganarem para ter acesso à conta do utilizador.

      Mesmo que exista alguma que seja à prova de recuperações de acesso fraudolentas, depois ainda existe o dispositivo do utilizador que têm de ser seguro ou utilizar segurança avançada tipo FIDO U2F para que nem o malware possa autênticar-se à distância com facilidade… e o serviço tem de estar bem concebido para não permitir modificar localmente definições que permitam depois fazer coisas à distância. E mesmo isto não é suficiente para certos web sites já que alguns modificam os dados apresentados no browser localmente para a pessoa autorizar acções que não deseja enganando-a… resulta em especial quando mesmo quando o serviço envia uma informação de autenticação extra via SMS e o utilizador tem tal dispositivo também comprometido ou os atacantes têm acesso à rede pública de telefónica via qualquer operador mundial que tenha acordo roaming com esse operador e saibam qual o número para o qual a mensagem irá ser enviada (via vulnerabilidades SS7)… coisa que já acontece com as contas bancárias.

  6. int3 says:

    Isto já foi analisado e revisto e mais que alertado. Não vejo a novidade aqui…
    Fizeram agora uma compilação de dominios portugueses foi?
    Desde o “inicio” deste mês que já se falou nisso.
    https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14
    Foi descoberta pela 4IQ…
    E não foram aqueles dominios hackeados mas sim outros websites que foram atacados em cujo os utilizadores registaram-se lá com aqueles dominos, seja do governo seja do BCP ou PSP etc….

  7. Redin says:

    Se fosse só de endereços de email, o P2T conseguiria lidar com isso, mas uma violação de acessos por passwords já ser torna bem mais complicado visto estar do lado mais sensível da cadeia de segurança. O utilizador.

  8. Jonathan says:

    Isso que da usar Mobdro!

  9. Miguel Matos says:

    Como é que se vê quais os sites onde o nosso email foi hackeado? No pwned diz que o meu email foi hackeado em dois sites, mas não diz quais…
    Obrigado.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.