Descoberto arquivo com mais de 700 milhões de emails e palavras-passe

É o maior arquivo do género alguma vez encontrado. Conterá dados que foram recolhidos em vários ataques ao longo dos últimos anos.

Foto
PEDRO CUNHA/ Arquivo

São 87 gigabytes de emails e palavras-passe postos a descoberto num fórum de hackers, onde estiveram disponíveis pelo menos até meados de Dezembro. Será a maior colecção de dados roubados alguma vez encontrada, com mais de 770 milhões de endereços de email e passwords. Quem compilou a informação deu-lhe o nome de Collection #1.

A existência do pacote foi revelada por Troy Hunt, especialista em cibersegurança e criador do site Have I Been Pwned, que ajuda os utilizadores a perceber se as suas credenciais de acesso foram roubadas ou não. Hunt escreveu num artigo detalhado sobre este caso no seu blogue que o Collection #1 “é um arquivo de endereços de email e palavras-passe com 2.692.818.238 linhas no total”.

Dessas linhas, mais de mil milhões são combinação de email e palavra-passe diferentes. Como muita gente usa a mesma palavra-passe para vários sites, o número de palavras- passe é ligeiramente mais baixo: 21.222.975 passwords diferentes. O documento estava alojado numa plataforma de armazenamento na nuvem, o Mega, de onde o ficheiro original foi entretanto retirado.

Nesse artigo, Hunt deixa em aberto a possibilidade de este arquivo ser constituído por dados resultantes de mais do que uma fuga de informação. Deverá ter sido construído ao longo de vários anos, usando os dados retirados de “muitas falhas de segurança individuais, de milhares de fontes diferentes”, e não ser resultante de um único ataque.

Milhões de emails e outros dados pessoais foram roubados ao longo dos últimos anos num grande número de ataques informáticos e de falhas de segurança, que atingiram, entre outros serviços, o MySpace em 2008, o Tumblr em 2013 e o LinkedIn em 2016.

No entanto, e de acordo com Hunt, “há cerca de 140 milhões de emails” neste novo pacote que “o Have I Been Pwned nunca tinha encontrado antes”.

Hunt deixa o alerta: “Estas listas que contêm os nossos emails e palavras-passe são usadas para tentar ver outros serviços onde [as passwords] podem funcionar.” Portanto, usar a mesma palavra-passe para mais do que um site é um erro crasso. O melhor é usar um gestor de palavras-passe, que evita que se usem as mesmas credenciais em sites diferentes.

“O sucesso [deste tipo de ataques] depende do facto de as pessoas usarem as mesmas credenciais em vários serviços. Possivelmente a vossa informação pessoal está nesta lista, porque se inscreveram num fórum, do qual já se esqueceram há muitos anos, que era vulnerável, e vocês continuam a usar a mesma password em todo o lado, e, por isso, têm um problema sério”, avisa.