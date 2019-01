São 87 gigabytes de e-mails e palavras-passe postos a descoberto num fórum de hackers, onde estiveram disponíveis pelo menos até meados de Dezembro. Será a maior colecção de dados roubados alguma vez encontrada, com mais de 770 milhões de endereços de e-mail e passwords. Quem compilou a informação deu-lhe o nome de Collection #1.

A existência do pacote foi revelada por Troy Hunt, especialista em cibersegurança e criador do site Have I Been Pwned, que ajuda os utilizadores a perceber se as suas credenciais de acesso foram roubadas ou não. Hunt escreveu num artigo detalhado sobre este caso no seu blogue que o Collection #1 "é um arquivo de endereços de e-mail e palavras-passe com 2.692.818.238 linhas no total”.

Dessas linhas, mais de mil milhões são combinação de e-mail e palavra-passe diferentes. Como muita gente usa a mesma palavra-passe para vários sites, o número de palavras passe é ligeiramente mais baixo: 21,222,975 passwords diferentes. O documento estava alojado numa plataforma de armazenamento na nuvem, o Mega, de onde o ficheiro original foi entretanto removido.

Nesse artigo, Hunt deixa em aberto a possibilidade deste arquivo ser constituído por dados resultantes de mais do que uma fuga de informação. Deverá ter sido construído ao longo de vários anos, usando os dados retirados de “muitas falhas de segurança individuais, de milhares de fontes diferentes”, e não resultantes de um único ataque.

Milhões de e-mails e outros dados pessoais foram roubados ao longo dos últimos anos num grande número de ataques informáticos e de falhas de segurança, que atingiram entre outros serviços o MySpace em 2008, o Tumblr em 2013 e o LinkedIn em 2016.

No entanto, e de acordo com Hunt, ”há cerca de 140 milhões de e-mails" neste novo pacote que "o Have I Been Pwned nunca tinha encontrado antes”.

Hunt deixa o alerta: “Estas listas que contêm os nossos e-mails e palavras-passe são usadas para tentar ver outros serviços onde [as passwords] podem funcionar”. Portanto, usar a mesma palavra-passe para mais do que um site é um erro crasso. O melhor é usar um gestor de palavras-passe, que evita que se usem as mesmas credenciais em sites diferentes.

“O sucesso [deste tipo de ataques] depende do facto de as pessoas usarem as mesmas credenciais em vários serviços. Se calhar a vossa informação pessoal está nesta lista porque se inscreveram num fórum, do qual já se esqueceram há muitos anos, que foi alvo de uma falha e vocês continuam a usar a mesma password em todo o lado, por isso têm um problema sério”, avisa.

