Hacker coloca à venda suposta lista de quase 10 bilhões de senhas: você deve se preocupar?

By: INTERVALO DA NOTICIAS

Texto: G1 – Imagem: Divulgação

Uma lista com quase 10 bilhões de senhas que teriam sido vazadas de vários serviços na internet foi colocada à venda no começo do mês. Segundo pesquisadores do site americano Cybernews, este seria o maior pacote de senhas roubadas da história. 

O veículo também afirmou que a compilação parece ter senhas coletadas de 4.000 bancos de dados ao longo de duas décadas.

Só que, ainda segundo o Cybernews, a maioria das senhas já tinha sido anunciada na internet em 2021, em outra versão do RockYou, que alegava reunir 8,4 bilhões de credenciais. Ou seja, muitas delas podem já ter sido substituídas.

Além deste fator, especialistas colocam em dúvida o potencial dessa lista pelos seguintes motivos:

• os registros, em sua maioria, parecem não ser senhas, de fato, e sim palavras tiradas de sites como Wikipedia;
• a RockYou2024 supostamente reúne apenas senhas, sem que elas estejam associadas a e-mails ou nomes de usuários, dificultando invasões a contas;
• parte das senhas que realmente foram vazadas pode estar corrompida, isto é, não ser exibida da forma correta, o que faria esses registros serem inutilizados.

Continua depois da publicidade

Mas isso significa que não há motivos para preocupação? Não é bem assim. Listas de senhas como a RockYou2024 podem ser usadas por criminosos para aplicar os chamados "ataques de força bruta". 

O que é RockYou2024?

RockYou é uma referência à antiga empresa de serviços online que sofreu um vazamento de dados em 2009. Na ocasião, 32 milhões de contas foram expostas após terem suas senhas armazenadas sem criptografia.

Desde então, outras listas de senhas aproveitaram este nome e passaram a circular na internet. A RockYou2024 é a atualização mais recente, divulgada em 4 de julho.

O que tem na RockYou2024?

A lista foi anunciada como um arquivo de texto com bilhões de senhas, sem referência a outros tipos de dados, como e-mails e nomes de usuário, que costumam ser citados para aumentar o interesse por esse tipo de material.

Na RockYou2021, a compilação não incluiu nomes de usuário, mas tinha um problema maior: a maioria das supostas senhas não eram credenciais vazadas, e sim palavras retiradas do Wikipedia e do Projeto Gutenberg, site que digitaliza obras literárias.

A informação foi revelada na época por Troy Hunt, criador do site "Have I Been Pwned", que monitora vazamentos de dados. Sobre a nova versão da RockYou, ele afirmou que não há motivos para se preocupar. 

Em uma análise de 2021, Hunt também disse que sequer existem 8,4 bilhões de senhas únicas para serem exploradas ao considerar o número aproximado de usuários de internet, de senhas repetidas em vários serviços e de tantos sistemas que não sofreram violações.

E há outro ponto para se atentar: é possível que trechos do arquivo que foram obtidos em vazamentos já tenham sido modificados e nem sejam mais exibidos corretamente.

Segundo o gerente de engenharia da empresa de ciberseguranaça Palo Alto Networks, Wellington Silva, "muitas vezes, as senhas podem vir num formato corrompido, às vezes, por caracteres especiais que são removidos ou senhas que são muito longas". 

Continua depois da publicidade

Parte das senhas pode ser exploradas, mas algumas delas acabam "quebradas", ou seja, sem a devida formatação. Segundo Wellington, isso acontece "porque não foi possível vazar toda a estrutura da senha, às vezes, pelo procedimento usado para extrair essas informações". 

Para que servem listas de senhas?

Esse tipo de material serve para os "ataques de dicionário" ou "ataques de força bruta", métodos menos sofisticados em que hackers buscam invadir contas por tentativa e erro, a partir da combinação de um e-mail ou nome de usuário com as senhas presentes na lista.

A técnica não serve para serviços online mais conhecidos, que costumam limitar o login depois de um determinado número de tentativas de acesso erradas. Mas pode ser útil para sites menores, em que não há tanta segurança. 

Depois de descobrir o login e senha de um serviço menos conhecido, cibercriminosos podem testar a combinação em plataformas maiores, como redes sociais e e-mails, na esperança de que o titular usou a senha em mais de um lugar.

"Tentarão usar esses dados em outro site. Isso é mais fácil do que tentar o ataque de força bruta, onde se tenta todas as combinações de senhas", disse Narang.

Como se proteger?

Não há um meio de evitar com 100% de certeza que suas informações sejam expostas indevidamente, avaliou o diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, Fabio Assolini.

"O vazamento de dados é algo impossível de evitar", disse. "Hoje, o usuário deve entender que já não é questão de se os dados vão vazar, mas quando. É inevitável. A partir disso, você precisa adotar hábitos para diminuir o prejuízo desse vazamento". 

Continua depois da publicidade

Para aumentar sua segurança na internet, especialistas ouvidos pelo g1 sugerem as medidas abaixo.

1. Use senhas diferentes, sem repeti-las em vários serviços;
2. Para lembrar de todas, adote um gerenciador de senhas – alguns deles informam caso elas apareçam em vazamentos de dados;
3. Ative o gerenciamento em duas etapas, que exige um segundo fator de autenticação além da senha para acessar suas contas;
4. Monitore seus dados por meio de sites como o Have I Been Pwned, que informa se eles apareceram em um vazamento;
5. Informe dados fictícios nos casos em que eles não são necessários – um site de jogos online nem sempre precisa do seu endereço, por exemplo. 

PARTICIPE DO NOSSO GRUPO NO WHATSAPP. 

GRUPO 2 - CLIQUE AQUI.

GRUPO 1 - CLIQUE AQUI.

GRUPO 4 - CLIQUE AQUI.

GRUPO - CLIQUE AQUI. 

GRUPO 3 : CLIQUE AQUI.

GRUPO 5: CLIQUE AQUI. 

GRUPO 6: CLIQUE AQUI.

CURTA AQUI NOSSA PÁGINA NO FACEBOOK

OS COMENTÁRIOS NÃO SÃO DE RESPONSABILIDADES DO INTERVALO DA NOTICIAS. OS COMENTÁRIOS IRÃO PARA ANALISE E SÓ SERÃO PUBLICADOS SE TIVEREM OS NOMES COMPLETOS.

FOTOS PODERÃO SER USADAS MEDIANTE AUTORIZAÇÃO OU CITAR A FONTE