Proponha uma correção, faça uma sugestão
620 milhões de passwords e contas de 16 sites divulgadas na Internet!
Foram divulgadas na Internet cerca de 620 milhões de contas que pertencem a um total de 16 sites e estavam à venda na dark web. Entretanto, já pode ver se a sua conta e password foram afetadas neste novo ataque perpetrado na Internet.
Se tiver, já sabe o que fazer. Mude imediatamente as suas credenciais, começando pela palavra-passe. Após o ataque perpetrado em janeiro, recordamos ainda o caso dos 500 milhões de e-emails e passwords da Yahoo. A prova de que nunca sabemos quando, ou de onde vem a próxima ameaça online.
O novo caso rivaliza, em escala, com o de janeiro passado. Agora, num total de 620 milhões de entradas, com nomes de conta (utilizador), passwords e e-mails associados. Todos estes dados foram colocados à venda em vários pontos da dark web, tal como nota o TheRegister.
Tem conta em algum destes sites? Mude já a sua password!
As bases de dados de 16 sites podiam ser compradas e consultadas por quem estivesse disposto a pagar. O preço rondava os 20 mil Dólares, cerca de 17 mil euros em Bitcoin. O local? O Dream Market, acessível através da rede e navegador Tor.
Em seguida poderá inteirar-se da lista de sites afetados no mais recente ataque:
- Dubsmash (162 milhões)
- MyFitnessPal (151 milhões)
- MyHeritage (92 milhões)
- ShareThis (41 milhões)
- HauteLook (28 milhões)
- Animoto (25 milhões)
- EyeEm (22 milhões)
- 8fit (20 milhões)
- Whitepages (18 milhões)
- Fotolog (16 milhões)
- 500px (15 milhões)
- Armor Games (11 milhões)
- BookMate (8 milhões)
- CoffeeMeetsBagel (6 milhões)
- Artsy (1 milhão)
- DataCamp (700 mil)
A publicação alerta ainda que uma grande parte das passwords visadas neste ataque estão protegidas com um simples algoritmo MD5. Por conseguinte, será simples contornar esta débil medida de segurança e, por outras palavras, se tiver uma conta em algum dos sites acima enumerados, mude-a!
Um após o outro, os vários sites citados acima estão a alertar os seus utilizadores. Ainda assim, alguns sites desconheciam por completo o ataque em curso e o resultado foi a exposição dos dados dos utilizadores pela Internet. Tudo isto, claro, sem estes se apercebessem.
Aliás, de acordo com a fonte, esta ataque foi perpetrado durante um período não especificado de tempo, não sendo, de qualquer forma, uma investida pontual. Por outras palavras, estas contas já estavam à venda durante algum tempo.
Infelizmente, só agora é que o caso foi devidamente exposto e as suas repercussões começam a ser sentidas.
Como posso saber se a minha conta foi afetada neste ataque?
Caso tema pela segurança da sua conta e queira saber se os seus dados foram afetados pelo novo ataque, então já há uma boa forma de o fazer. Trata-se de um simples método de verificação da integridade do seu email e password não sendo, contudo, um meio infalível.
Para tal basta aceder ao seu site Have I been Pwned. Aí poderá apurar se os seus valiosos dados constam, ou não, do mais recente ataque perpetrado na Internet. Assim, saberá se tem que mudar a password ou outros dados de conta como medida de emergência, ou sábia precaução.
Quem são os principais interessados nestas contas?
Os principais compradores de todas estas informações publicadas na internet foram descritos como spammers bem como outras entidades interessadas na compilação de contas e respetivas passwords. Os seus motivos variam, mas as suas intenções são invariavelmente ilícitas.
O acumular de várias credenciais permite-lhes fazer o login ou entrar em vários sites que aquele utilizador possa frequentar. Note-se que, por norma, um mesmo utilizador define a mesma password para vários sites ou serviços. Uma verdade bem conhecida por estas mentes mal intencionadas.
Assim, imaginando que um pirata informático compra algumas das credenciais Fotolog, visado neste último ataque. Aí encontrará uma password protegida por um algoritmo já obsoleto, algo que ele contornará facilmente. Em seguida, encontrando o email correspondente, bastará que tente diferentes serviços com esse mesmo email e password. Mais ainda, nada o impede de repetir o processo quantas vezes for necessário.
Em suma, rogamos-lhe que não utilize uma password similar à da seguinte lista:
Este artigo tem mais de um ano
Loading ...
Desses sites aí, só conheço o nome “Armor Games” que costuma aparecer em jogos flash, e creio que também já vi referências ao fotolog.
Tanto site, tanto milhão e nunca tive conta em nenhum deles… já o roubo do Yahoo, a minha conta não foi afectada, pois ainda era das iniciais e não estava na base de dados que foi invadida. Desgraçado que sou.
Nos dias de hoje há que usar gestores de passwords de maneira a ter uma password especifica para cada site / serviço. Torna-se mais seguro e simples de verificar se foram expostos a ataques..
Exactamente! Sinceramente não percebo porque é que a grande maioria das pessoas não usa um gestor de passwords. São simples de usar, gratuitos, à muitos deles open-source (para quem se preocupa com isso como eu) e cross-platform.
Eu utilizo o dock.io para verificar este tipo de problemas. Para alem do email, tambem podemos ver se as passwords foram comprometidas. E claro esta um bom gestor de passwords, que no meu caso é o Dashlane.
Gestores de passwords online geridos por terceiros e dependente de serviços de terceiros não são bons gestores de password.
500px (15 milhões).
Tenho conta neste site e pelo que eles me enviaram por e-mail, o que foi roubado foi a salted hash da password.
Dai a dizerem que têm a password não é a mesma coisa!
Ri-me(embora não tenha piada) quando li Fotolog.
Que alternativas recomendam ao uso de md5?
Argon2
PBKDF2
scrypt
brcypt
*bcrypt
(Btw, ordenei por preferência)
Não conheço esses sites !!! ahaahahah