O maior banco de endereços de e-mail roubados já visto foi encontrado esta semana e batizado de “Collection #1”. O site “Have I Been Pwned?” encontrou uma base com 773 milhões de endereços de e-mail únicos com mais 21 milhões de senhas usadas para fazer login em múltiplos sites e serviços online.
Como é comum nesses casos, as credenciais não são fruto de um único ataque ou uma só campanha de phishing que enganou pessoas para obter seus logins e senhas em páginas falsas. Bancos gigantescos como o Collection #1, catalogado pelo especialista Troy Hunt, são, na verdade, a reunião de dados vindos de múltiplos ataques pequenos cujos resultados são reunidos, normalmente, de forma desorganizada.
Os dados catalogados no arquivo publicado no site de compartilhamento MEGA conta com informações datadas de pelo menos 2015. Seu propósito provavelmente seria utilizar esse banco de dados como referência para ataques conhecidos como “credential stuffing”. Na prática, a técnica consiste em usar softwares para testar uma credencial vazada em outros sites com objetivo de ganhar acesso a mais contas de uma vítima. Por exemplo: se seu email e senha da Netflix vazarem, os hackers podem tentar usar a mesma combinação para acessar sua conta do Spotify, do Google Drive, da Uber e tantos outros; por este motivo é bom usar senhas diferentes em cada serviço.
Até a descoberta do Collection #1, o maior banco de dados roubados encontrados e catalogados no site Have I Been Pwned era de 711 milhões de registros. O banco, no entanto, é maior do que estes 773 milhões mencionados; este são apenas os registros únicos. O total de combinações de e-mail e senha vazadas chega a 1,16 bilhão, o que significa que várias pessoas aparecem na lista múltiplas vezes, e em alguns casos com senhas diferentes.
Como saber se você foi atingido
O site Have I Been Pwned é uma ferramenta interessante que é usada para catalogar esses grandes vazamentos e permitir que o usuário comum saiba se já foi atingido em algum deles. Se você quiser saber se seus dados já foram vazados, basta acessar esta página e digitar seu endereço de e-mail.
Caso você tenha sido afetado em algum dos vazamentos, troque imediatamente a senha do e-mail afetado e de todas contas importantes vinculadas àquele endereço. Crie, de preferência, uma senha bem longa, alternando letras maiúsculas e minúsculas, números e símbolos formando, de preferência sem formar uma sequência lógica de caracteres. Se possível, ative a verificação em duas etapas em todos os serviços em que estava cadastrado com aquele endereço.