Vazamento de 9,9 bilhões de senhas: um dos maiores da história
Hacker coloca à venda suposta lista de quase 10 bilhões de senhas: você deve se preocupar?
Uma lista com quase 10 bilhões de senhas vazadas de diversos serviços na internet foi colocada à venda no início deste mês. De acordo com pesquisadores do site americano Cybernews, este pode ser o maior pacote de senhas roubadas da história.
O arquivo, chamado RockYou2024, contém exatamente 9.948.575.739 senhas em texto simples, ou seja, sem criptografia, conforme relatado pela página especializada em cibersegurança.
A compilação parece incluir senhas coletadas de 4.000 bancos de dados ao longo de duas décadas. No entanto, o Cybernews observou que a maioria dessas senhas já havia sido divulgada na internet em 2021, em uma versão anterior do RockYou, que alegava reunir 8,4 bilhões de credenciais. Isso significa que muitas dessas senhas já podem ter sido alteradas.
Além deste fator, especialistas colocam em dúvida a eficácia dessa lista pelos seguintes motivos:
- A maioria dos registros parecem não ser senhas reais, mas sim palavras extraídas de sites como a Wikipedia.
- A RockYou2024 supostamente contém apenas senhas, sem estar associadas a e-mails ou nomes de usuários, o que dificulta invasões a contas.
- Parte das senhas vazadas pode estar corrompida, ou seja, não ser exibida corretamente, tornando esses registros inutilizáveis.
Mas isso significa que não há motivos para preocupação? Não é bem assim. Listas de senhas como a RockYou2024 ainda podem ser usadas por criminosos para realizar "ataques de força bruta".
"Força bruta significa que está se tentando tudo, está se usando tudo ao alcance para tentar arrombar a porta. Então, você continua tentando, tentando, até que algo funcione", afirmou Narang, da Tenable.
O que é RockYou2024?
RockYou2024 é uma referência a um vazamento de dados da antiga empresa de serviços online RockYou, que em 2009 expôs 32 milhões de contas devido ao armazenamento de senhas sem criptografia. Desde então, várias listas de senhas têm circulado na internet usando o nome RockYou, sendo RockYou2024 a atualização mais recente, divulgada em 4 de julho.
O que tem na RockYou2024?
A RockYou2024 foi anunciada como um arquivo de texto contendo bilhões de senhas, sem incluir outros dados como e-mails ou nomes de usuários. No entanto, a lista enfrenta críticas semelhantes à sua versão anterior, RockYou2021, que continha principalmente palavras retiradas de sites como Wikipedia e Projeto Gutenberg, em vez de credenciais reais vazadas. Troy Hunt, criador do site "Have I Been Pwned", que monitora vazamentos de dados, afirmou que não há motivos para preocupação com a nova versão da RockYou.
Em uma análise de 2021, Troy Hunt afirmou que é improvável que existam 8,4 bilhões de senhas únicas, considerando o número de usuários de internet, a repetição de senhas em vários serviços e a quantidade de sistemas que não foram violados.
Algumas partes da lista de senhas, obtidas em vazamentos, podem estar corrompidas devido à remoção de caracteres especiais ou ao formato inadequado. Isso pode dificultar a utilização dessas senhas em ataques cibernéticos, pois parte delas pode não ser exibida corretamente.
Como se proteger?
Não há um meio de evitar com 100% de certeza que suas informações sejam expostas indevidamente, avaliou o diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, Fabio Assolini.
"O vazamento de dados é algo impossível de evitar", disse. "Hoje, o usuário deve entender que já não é questão de se os dados vão vazar, mas quando. É inevitável. A partir disso, você precisa adotar hábitos para diminuir o prejuízo desse vazamento".
Algumas formas de se proteger:
- Troque suas senhas regularmente e use senhas fortes e individuais para cada plataforma utilizada Use senhas diferentes, sem repeti-las em vários serviços;
- Para lembrar de todas, adote um gerenciador de senhas – alguns deles informam caso elas apareçam em vazamentos de dados;
- Ative a verificação em duas etapas, que exige um segundo fator de autenticação além da senha para acessar suas contas;
- Não confirme informações por telefone — a não ser que você tenha entrado em contato com a empresa ou banco
- Informe dados fictícios nos casos em que eles não são necessários – um site de jogos online nem sempre precisa do seu endereço, por exemplo.
- Nunca clique em links suspeitos. Tenha cuidado com mensagens maliciosas ou oferecendo prêmios.
