Ultimamente, é com alguma regularidade que ouvimos falar de ataques a websites ou base de dados que comprometem a segurança dos seus utilizadores. Já aconteceu em algumas das plataformas mais conhecidas como LinkedIn, MySpace ou Adobe, e continua a acontecer mesmo que não tenhamos conhecimento imediato do resultado desses roubos. As listas massivas com e-mails de registo e passwords circulam durante alguns tempos no ‘submundo’ da internet, até que surjam à vista do comum internauta.
O portal Have I Been Pwned, do especialista em cibersegurança Troy Hunt, desenvolveu uma ferramenta para que qualquer utilizador possa verificar se os seus dados se encontram em algum deste material e as actualizações do seu site serve de barómetro para percebermos o que se anda a passar na internet. Se um “dump” – a disponibilização de dados sensíveis – acontecer é provável que vá parar ao Have I Been Pwned. Ainda assim nem todas as adições são motivo de notícia. A penúltima por exemplo referia-se a contas de uma rede social dinamarquesa, o FaceUP e continha dados de apenas 87 mil pessoas: nada a assinalar.
Bem diferente foi a sua mais recente adição. Com o nome “Collection #1”, é a maior colectânea de e-mails e passwords alguma vez publicada no site, contendo 772 904 991 e-mails e 21 milhões de passwords. Segundo Troy Hunt os mais de 12 mil ficheiros que a compõem surgiram no Mega, o popular serviço de armazenamento, e totalizavam mais de 87 gigabytes.
O especialista em cibersegurança fez um longo post no seu blogue, no qual partilha alguns detalhes destes documentos. Apesar do número de referência serem os mais de 770 milhões de e-mails, a informação libertada online continha mais de 2 mil milhões de combinações e-mail/password. “Seja como for, o que posso dizer é que a minha informação pessoal está lá e está correcta; o endereço de e-mail e a password que usava há alguns anos”, escreve.
Não se sabe ao certo de onde foram roubados todos estes dados mas Troy conta como teve acesso. Um dos seus contactos deu-lhe conta de que estas informações estavam a ser partilhadas num fórum de hacking como “uma colecção de mais de 2000 base de dados e combos armazenadas por tópico”, acompanhada de uma lista dos mais de 2 890 sites alegadamente fontes do ataque – lista entretanto reproduzida por Troy Hunt e onde constam 11 domínios .pt.
A publicação das bases de dados não significa que os roubos das mesmas sejam propriamente recentes, pelo que é normal encontrar e-mails e passwords antigas entre estes leaks. Ainda assim recomenda-se a verificação no site acima referido e, pelo sim pelo não, alterações rotineiras e a utilização de um serviço de gestão de passwords.
