Proponha uma correção, faça uma sugestão
Lista gigante com dados de polícias, políticos, militares e bancos
Poderemos estar diante da maior fuga de informação pessoal de que há memória em Portugal. Segundo informações que estão a ser veiculadas, foram expostos a público milhares de endereços de e-mails e as respetivas passwords de funcionários públicos, quadros de bancos, grandes empresas e clubes de futebol.
Estes dados estão a circular na Internet em duas gigantescas listas.
De acordo com uma investigação levada a cabo pela Sábado, andam a circular na Dark Web, uma parte da web que só pode ser acedida através de programas específicos, duas listas enormes com milhares de e-mails e passwords de pessoas com cargos importantes do setor público e do setor privado.
Segundo o Pplware conseguiu apurar, estes dados foram obtidos através de ataques a redes sociais e a outros sites em que é obrigatório um registo com e-mail e password. Entre as vítimas encontram-se também vários membros do governo dos ex-Primeiro Ministros Pedro Passos Coelho e José Sócrates e funcionários do Centro de Gestão da Rede Informática do Governo (CEGER).
Apesar de tudo, de acordo com a CEGER, os dados roubados não permitirão aceder à rede informática do Estado Português pois, mesmo que o e-mail do trabalho tenha sido utilizado para registo nas redes sociais, as passwords roubadas não cumprem os requisitos da plataforma.
Na área do futebol, pessoas ligadas aos 3 grandes clubes nacionais também não escaparam a este roubo de dados. O diretor jurídico da SAD do Benfica, Paulo Gonçalves é um dos afetados. Para além disso também é possível encontrar nas listas pessoas ligadas ao FC Porto e ao Sporting.
Sem dúvida, esta é, provavelmente, a maior fuga de informação pessoal de que há registo em Portugal. A Polícia Judiciária já decidiu abrir um inquérito para perceber tudo aquilo que está em jogo.
O Pplware já contactou a PJ e aguarda detalhes sobre este caso que estamos a acompanhar.
Este artigo tem mais de um ano
Loading ...
“Apesar de tudo, de acordo com a CEGER, os dados roubados não permitirão aceder à rede informática do Estado Português pois, mesmo que o e-mail do trabalho tenha sido utilizado para registo nas redes sociais, as passwords roubadas não cumprem os requisitos da plataforma.”
Srs da CEGER, porquê? Não é possível comprometer um email profissional com essas passwords e desse modo, via engenharia social, obter passwords de sistemas críticos? (até porque regra geral, nos servidores de email empresarial, os emails entre elementos da empresa têm menores restrições de segurança)
Os emails entre elementos normalmente até podem ter menos segurança, mas por exemplo, onde trabalho temos:
De alterar a password a cada 60 dias; é necessário configurar um proxy e outras cenas para podermos usar o email. O email é do outlook mas tem um nome especifico, nao é fulano@outlook, é fulano@nome da empresa, mas para todos os efeitos é outlook e recebe emails de todos os lados e envia para todos os lados,mas sem estar ligado ao servidor e ter a aplicacao outlook configurada, nao é possivel entrar no email (e certamente nao entras ao ir para o outlook.com e escreveres o login, diz que nao existe, sei porque ja tentei).
Entao: para quê passwords fortes?
Digo mesmo que a minha password lá é asd123 e quando altero é entre essa e qwe123
tenta em portal.office.com
pode ser na tua empresa mas nas outras não
quem impede alguém que tenha a lista de entrar num dos email no tempo em que a password ainda for válida?
Tente em http://www.office365.com/
Sinceramente isto não é de admirar, é preocupante o nível tão baixo de segurança no foro do estado, com muitos servidores obsoletos e esquecidos espalhados “por aí”…
Não tem a haver com ataques ao estado, a noticia faz parecer que foi um ataque focado ao estado. Isto é um dump com passwords de varios sites, linkedin, dropbox, etc etc etc.
Tal como está na notícia (até por casos anteriores) podem bem ser “apenas” dados recolhidos de ataques a serviços portugueses, como no passado foi noticiado.
Agora Reddit é Dark Web?
Este dump é uma junção de vários data leaks que aconteceram nos últimos anos, e alguns novos. Podem ler uma analise ao dump aqui https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14
Recomendação: Registem os vossos emails em https://haveibeenpwned.com para ser notificados se o vosso email/password podem ter sido expostos.
É giro dizer dark web.
Daniel, não é por ser giro, é por ser verdade. Foi lá que apareceram certas listas, depois alguém as puxou para outros sites e em breve estarão disponíveis em qualquer lugar.
Marco, coloca o link para a lista que tem os nomes dos citados no artigo, essas tais listas portuguesas.
em relação à recomendação, não registem nada, agarre nos vossos serviços e mudem as palavras passe, ativem os dois passos de autenticação e não coloquem o vosso email em lugar nenhum. Esses sítios, desde que ficaram populares, deixaram de inspirar confiança.
Não há listas portuguesas, há dumps globais, que contêm dados de pessoas portuguesas, como *.gov.pt, *.gov.uk, etc etc. As listas que o artigo fala são a exploit.in e antipublic, que com 5 minutos no google são fáceis de obter.
Sobre a Recomendação, volto a dizer, registem no https://haveibeenpwned.com, é o único site de confiança que existe, feito pelo Troy Hunt. O registo é serem notificados, n há passwords envolvidas no processo.
As listas mencionadas são a exploit.in e antipublic, não existem listas portuguesas. Essas listas contém centenas de milhões de emails e passwords, de vários serviços (Linkedin, Dropbox, Yahoo, etc). Com essas listas é fácil obter os emails de um dominio, por exemplo emails que sejam *.gov.pt. (Tal como de outros paises)
O haveibeenpwned.com é o único lugar de confiança para isto, o registo é simplesmente dizer, notifica-me se o meu email aparecer, não ha passwords envolvidas.
E ofereces o teu email para mais uma lista. Tu garantires que o serviço é de confiança….LOL
Olha que pegar emails em massa não é assim tão difícil!:)
xxxx/search_email_collector…
Eu estou perfeitamente descansado em o haveibeenpwned.com do Troy Hunt ter o meu email. Não ha passwords envolvidas 🙂
Recomendo que faças um search sobre quem é o Troy Hunt e o impacto dele na comunidade de segurança 😉
Continuem a retirar orçamento aos departamentos IT.
Que há falha humana, à partida, há sempre mas cada vez mais esta área é descredibilizada pelos “cães grandes” agora está à vista.
Uma vez registei-me num portal do governo, já não me lembro bem qual era. Tive um problema com a minha conta e enviei um email para o apoio. A senhora que me respondeu, de forma a confirmar a autenticidade do meu contacto responde-me: “Boa tarde. Pode confirmar que o seu utilizador é (taltaltal) e a sua password é (blahblahblah)?” Ou seja o utilizador ok, deve ser público, mas ela perguntar-me se a minha password é aquela (que era!), nem cifrada estava, não sei como é que ela tinha acesso àquilo.
Foi estranho.
Por acaso já me dei ao trabalho de testar as recuperações de senha e por exemplo na Google tenho algumas 6 maneiras de recuperar a senha… eles realmente não querem que ninguém fique de fora… qualquer informação quase que serve para recuperar o acesso à conta… introduziram o modo “Advanced Protection Program” mas continuam a permitir recuperação de acesso à conta… logo continua a exitir maneira de ultrapassar a protecção… só demorar mais uns dias se não tiverem a coisa bem feita.
Os segundos factores de autenticação muitas vezes tornam-se o primeiro factor de autenticação com senhas a serem enviadas para o e-mail e/ ou para os telefones que toda a gente sabe que são muito seguros ahah Ou o código que deveria ser o segundo factor do gerador de códigos a passar a ser o que é necessário para ser reconhecido como o dono da conta. Enfim, raramente os web sites/ serviços onlines têm políticas de recuperação de acesso à conta realmente seguras mesmo quando têm segundos factores de autenticação.
Outros é tudo muito seguro online mas depois liga-se para a assistência técnica e com dados que os atacantes conseguem recolher um pouco por todo o lado de bases dados furtadas anteriormente e informações públicas conseguem ter acesso à conta na mesma.
Por tanto poucas ou nenhumas empresas são 100% à prova de terceiros os enganarem para ter acesso à conta do utilizador.
Mesmo que exista alguma que seja à prova de recuperações de acesso fraudolentas, depois ainda existe o dispositivo do utilizador que têm de ser seguro ou utilizar segurança avançada tipo FIDO U2F para que nem o malware possa autênticar-se à distância com facilidade… e o serviço tem de estar bem concebido para não permitir modificar localmente definições que permitam depois fazer coisas à distância. E mesmo isto não é suficiente para certos web sites já que alguns modificam os dados apresentados no browser localmente para a pessoa autorizar acções que não deseja enganando-a… resulta em especial quando mesmo quando o serviço envia uma informação de autenticação extra via SMS e o utilizador tem tal dispositivo também comprometido ou os atacantes têm acesso à rede pública de telefónica via qualquer operador mundial que tenha acordo roaming com esse operador e saibam qual o número para o qual a mensagem irá ser enviada (via vulnerabilidades SS7)… coisa que já acontece com as contas bancárias.
Aqui esta os dados: https://0bin.net/paste/PInavS-jCLexNr1J#8+nROdd05xJyrjDTYrs9LqIYbriawok1wGxWNSu5G38
Isto já foi analisado e revisto e mais que alertado. Não vejo a novidade aqui…
Fizeram agora uma compilação de dominios portugueses foi?
Desde o “inicio” deste mês que já se falou nisso.
https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14
Foi descoberta pela 4IQ…
E não foram aqueles dominios hackeados mas sim outros websites que foram atacados em cujo os utilizadores registaram-se lá com aqueles dominos, seja do governo seja do BCP ou PSP etc….
Se fosse só de endereços de email, o P2T conseguiria lidar com isso, mas uma violação de acessos por passwords já ser torna bem mais complicado visto estar do lado mais sensível da cadeia de segurança. O utilizador.
Isso que da usar Mobdro!
Como é que se vê quais os sites onde o nosso email foi hackeado? No pwned diz que o meu email foi hackeado em dois sites, mas não diz quais…
Obrigado.
Se o haveibeenpwned não disser o site, é porque não sabe qual o site que deu origem aquele leak. Se souber és logo informado.