Um número inacreditável de quase 800 milhões de emails e senhas foi vazado recentemente na internet. De acordo com a Wired, a brecha foi notada pelo pesquisador de segurança Troy Hunt e contém mais de 12 mil arquivos, com 87 gigabytes de dados, postados em um fórum hacker.

Imagem: Kacper Pempel/Reuters

A falha gigante envolve 772.904.997 endereços de email únicos, além de mais de 21 milhões de senhas únicas. Essa é considerada uma das maiores brechas de segurança envolvendo vazamentos de email na história.

Os números acima, por sinal, não refletem a real quantidade de dados vazados. Isso porque o pesquisador fez um esforço de limpar os dados duplicados e inutilizáveis. Na forma crua, o número de endereços de email e senhas passava de 2,7 bilhões - incluindo mais de um bilhão de combinações únicas de emails e senhas.

Troy Hunt mantém o site Have I Been Pwned. Na plataforma, você pode descobrir se o seu email ou a sua senha já foram comprometidos em alguma brecha na história --ele oferece até mesmo em quantos vazamentos seu email já esteve envolvido.

Como posso ser afetado?

A lista vazada parece ser projetada para uso nos chamados ataques de preenchimento de credenciais, em que hackers entram com email e combinações de senhas em um site ou serviço. Esses são processos tipicamente automatizados, que confiam principalmente em pessoas que reutilizam as mesmas senhas em vários sites.

Pelo vazamento ter aparecido em um dos sites de armazenamento na nuvem mais populares na atualidade, o Mega, e não somente na deep web, Hunt vê a questão como séria. Os dados não estavam à venda, mas disponíveis para quem quisesse ver.

A maneira como eles estavam organizados também preocupa.

"São senhas em texto simples. Se levarmos em conta um vazamento como o do Dropbox, eram 68 milhões de endereços de email, mas as senhas eram criptografadas, tornando-as muito difíceis de usar", explicou Hunt.

Ou seja: para os dados serem utilizados, basta o malfeitor rolar a tela e clicar. Sergey Lozhkin, especialista em segurança da Kaspersky Lab, explicou o tamanho do problema:

Essa coleção pode virar uma lista de emails e senhas: tudo o que precisam fazer é criar um software simples para checar se as senhas estão funcionando. "As consequências do acesso à conta podem variar de phishing muito produtivo, pois os criminosos podem enviar emails infectados para contatos da vítima, até ataques projetados para roubar toda a identidade digital ou dinheiro da vítima ou comprometer os dados da rede social".

O hack

Chamada de Collection #1, essa brecha é a maior que Hunt já testemunhou. E ela não envolve apenas o vazamento de um serviço --é uma chamada "brecha das brechas", que agrega mais de 2.000 bases de dados vazadas.

"Parece ser uma coleção aleatória de sites puramente para maximizar o número de credenciais disponibilizadas para hackers. Não existem padrões óbvios", afirmou Hunt à Wired.

Apesar de os dados envolvidos não contarem com informações sensíveis, como CPF e números de cartões, a falha é séria e histórica. Mais de 140 milhões de emails e mais de 10 milhões de senhas vazadas nessa falha, por exemplo, são novos no banco de dados de Hunt. O vazamento do Yahoo, por exemplo, teria afetado 3 bilhões de usuários, mas as informações vazadas não vieram a público até agora.

Como se proteger

Para se proteger da brecha, o usuário pode seguir algumas dicas.

•  Verifique se seu email e senha já foram expostos em alguma falha acessando o Have I Been Pwned.
•  Se teve alguma informação exposta, mude a senha das suas contas. Considere também sempre mudar senhas de tempos em tempos.
•  Use senhas fortes para contas mais importantes ou confidenciais (como internet banking ou redes sociais).
•  Considere usar um gerenciador de senhas.
•  Ative a autenticação de dois fatores sempre que possível nos serviços.

Com Portal Uol