Nestes últimos tempos temos assistido a um elevado número de credenciais roubadas e usadas por cibercriminosos. As empresas de serviços online estão alarmadas pois além de comprometer a credibilidade desses serviços, há uma correspondência de dados dos utilizadores com outros serviços e tudo isso cria uma bola de neve.
Muitos utilizadores estão a ser notificados por serviços que têm relação com as brechas de segurança. Será que as suas credenciais estão na mão dos cibercriminosos? É isso que poderá verificar num site agora criado.
Um novo site permite que os utilizadores da Web verifiquem se o seu email, nome de utilizador e palavra-passe foram expostos a alguma das grandes violações de dados que aconteceram nos últimos anos.
O site chama-se haveibeenpwned.com e foi desenvolvido por um australiano, Troy Hunt, arquitecto de software. O serviço permite aos utilizadores verificarem se o seu email está presente nalguma base de dados que fosse roubada recentemente, como foi o caso do que aconteceu na Adobe este ano, onde foram roubadas milhares de credenciais, como aconteceu também à Yahoo em 2012, à Sony PlayStation Network em 2011 e à Gawker em 2010… entre outros.
Os dados do “assalto” à Adobe vieram à tona no passado mês de Outubro e é já considerado o maior roubo de informações de utilizadores da história, de conhecimento público. Mais de 153 milhões de registos dos utilizadores, incluindo endereços de email e senhas mal criptografadas, foram expostos, como resultado do incidente.
SEJA CRIATIVO A CRIAR PALAVRAS-PASSE E CONFIE DESCONFIANDO!
Vários investigadores de segurança criaram sites que permitem aos utilizadores verificar se as pessoas foram afectadas. Hunt foi mais além e fez um site que mapeia os endereços de email através das várias falhas de segurança das muitas empresas visadas. Este tipo de correlação é importante, porque um grande número de pessoas volta a utilizar as mesmas palavras-passe, endereços de email e nomes de utilizador que haviam sido roubados noutros serviços.
Em 2012 Troy Hunt comparou os registos da informação roubada à Sony e à Yahoo e descobriu que 59 por cento das pessoas, com contas nos dois serviços, usaram a mesma senha.
O site haveibeenpwned.com não guarda nenhuma das palavras-passe roubadas, apenas os endereços de e-mail.
“Eu simplesmente não preciso delas [as senhas] e, francamente, não quero essa responsabilidade”, disse Hunt num post no blog . “Isto é tudo a ver com a sensibilização relacionada com a amplitude das violações”.
Importar os dados para o site não foi uma tarefa fácil, com a base de dados contendo mais de 152 milhões de registos da Adobe, quase 860 mil da Stratfor, mais de 530 mil da Gawker, da Yahoo e Sony foram 453.000 e 37.000 respectivamente. Hunt publicou também um post no blog sobre os aspectos técnicos do trabalho com este conjunto de dados de grande porte.
O trabalho foi combinar os dados numa única base de dados o que depois revelou estatísticas muito interessantes. Hunt cruzou os dados da Stratfor aos registos da Adobe e verificou que 16% dos endereços de email já estavam no sistema. Quando cruzou com os da Sony, foram 17% que coincidiram e quando comparou com os da Yahoo! verificou que eram 22% de resultados coincidentes.
O projecto está ainda a crescer, também porque as violações dos dados privados não param, mas há uma conclusão clara: as pessoas continuam a facilitar a vida aos criminosos e a desprezar a sua própria segurança, entregam facilmente palavras-passe simples, parcas em dificuldade o que é altamente condenável, tendo em conta o que cada uma dessas pessoas deposita nos serviços da Internet. A exposição traz graves problemas, uns a curto prazo, como o acesso aos netbancos e a dados financeiros sensíveis, assim como traz problemas futuros ao verem as suas contas associadas a práticas criminosas.