(Foto: reprodução) |
Como é comum nestes casos, as credenciais não são frutos de um único ataque ou uma só campanha de phishing que enganou pessoas para digitar seus logins e senhas em páginas falsas. Bancos gigantescos como o Collection #1, catalogado pelo especialista Troy Hunt, são, na verdade, a reunião de dados vindos de múltiplos ataques pequenos cujos resultados reunidos, normalmente, de forma desorganizada.
Os dados catalogados no arquivo publicado no site de compartilhamento MEGA conta com informações datadas de pelo menos 2015. Seu propósito provavelmente seria utilizar esse banco de dados como referência para ataques conhecidos como “credential stuffing”. Na prática, a técnica consiste em usar softwares para testar uma credencial vazada em outros sites com objetivo de ganhar acesso a mais contas de uma vítima. Por exemplo: se seu email e senha da Netflix vazarem, os hackers podem tentar usar a mesma combinação para acessar sua conta do Spotify, do Google Drive, da Uber e tantos outros; por este motivo é bom usar senhas diferentes em cada serviço.
Até a descoberta do Collection #1, o maior banco de dados roubados encontrados e catalogados no site Have I Been Pwned era de 711 milhões de registros. O banco, no entanto, é maior do que estes 773 milhões mencionados; este são apenas os registros únicos. O total de combinações de e-mail e senha vazadas chega a 1,16 bilhão, o que significa que várias pessoas aparecem na lista múltiplas vezes, e em alguns casos com senhas diferentes.
Como saber se você foi atingido
O site Have I Been Pwned é uma ferramenta interessante que é usada para catalogar esses grandes vazamentos e permitir que o usuário comum saiba se já foi atingido em algum deles. Se você quiser saber se seus dados já foram vazados, basta acessar esta página e digitar seu endereço de e-mail.
Caso você tenha sido afetado em algum dos vazamentos, troque imediatamente a senha do e-mail afetado e de todas contas importantes vinculadas àquele endereço. Crie, de preferência, uma senha bem longa, alternando letras maiúsculas e minúsculas, números e símbolos formando, de preferência sem formar uma sequência lógica de caracteres. Se possível, ative a verificação em duas etapas em todos os serviços em que estava cadastrado com aquele endereço.
Nenhum comentário:
Postar um comentário