Contente
- O criador de I Was Pwned, Troy Hunt, anunciou a violação de dados da coleção nº 1.
- A coleção de arquivos contém milhões de endereços de email e senhas comprometidos.
- Os dados comprometidos supostamente vêm de 2.000 bancos de dados.
As violações de dados tornaram-se tão comuns hoje em dia que quase nos tornamos insensíveis a elas. No entanto, o pesquisador de segurança e o criador do I'm I Pwned, Troy Hunt, acabou de relatar uma violação de dados que será prejudicada por um longo tempo: Coleção nº 1.
A coleção nº 1 é um arquivo enorme que foi recentemente carregado no serviço de armazenamento em nuvem Mega. O arquivo possui 12.000 arquivos separados que contêm 87 GB de dados.
O que há nos dados, você pode perguntar? 772.904.991 endereços de email exclusivos e 21.222.975 senhas exclusivas. Um problema significativo são as senhas roubadas com quebra de hash de proteção. É por isso que as senhas aparecem como texto sem formatação em vez de serem criptografadas quando os sites foram violados.
Agora, enviando por e-mail 768.253 indivíduos que se inscreveram para receber notificações e outros 39.923 que estão monitorando domínios…
- Troy Hunt (@troyhunt) 16 de janeiro de 2019
Essas senhas quebradas permitem um segundo problema, uma prática chamada preenchimento de credenciais. O preenchimento de credenciais ocorre quando combinações violadas de nome de usuário ou e-mail / senha são usadas para acessar a conta de outra pessoa. Os invasores não precisam usar força bruta ou adivinhar senhas - eles podem apenas automatizar os logins.
O preenchimento de credenciais é particularmente preocupante para aqueles que usam a mesma combinação de nome de usuário e senha nos sites.
Acontece que a coleção nº 1 contém quase 2,7 bilhões de combinações. Acontece também que cerca de 140 milhões de endereços de email e 10 milhões de senhas da Coleção nº 1 são novos no banco de dados Eu já fui enviado.
Também não devemos esquecer a natureza descentralizada da Coleção nº 1. As violações anteriores geralmente tinham um forro de prata comum: cada violação podia ser vinculada a um site. Não é assim com essa violação, que compreende violações em 2.000 bancos de dados.
Nesse caso, o único revestimento de prata possível é que Hunt não saiba se todas as violações da coleção nº 1 são legítimas. No entanto, Hunt também disse que esta é "a maior violação de todos os tempos a ser carregada no HIBP".
O que devo fazer?
Primeiro, vá para Eu fui enviado e digite seu endereço de e-mail. O site informa se uma conta que usa esse endereço de email foi comprometida.
Se você já usou o recurso Fui enviado, deveria ter recebido uma notificação da violação. Quase metade dos usuários do site está envolvida na violação. Lembre-se disso se você for um membro.
A partir daí, clique noSenhas guia na parte superior de Eu fui pwned. Senhas Pwned permite que você saiba se sua senha foi comprometida e ajuda a usar senhas fortes.
Se você tiver um endereço de e-mail e senhas comprometidos, é hora de limpar suas práticas de senha. Se um site suportar, use autenticação de dois fatores. Pode não ser infalível, mas a autenticação de dois fatores ajuda a dissuadir a maioria dos que desejam acesso à sua conta.
Você também pode evitar o uso da mesma senha em vários sites. É tentador usar a mesma senha por conveniência, mas a prática é uma perigosa espada de dois gumes.
Por fim, use um gerenciador de senhas. 1Password, Dashlane e LastPass são três das opções mais populares disponíveis no mercado, embora você também possa usar o método testado e comprovado de caneta e papel.
Ah, e mude sua senha. Definitivamente mude sua senha. Torne algo complexo, algo que não pode ser encontrado em um dicionário.
