Em janeiro, foi descoberto um megabanco de dados de credenciais roubadas para inúmeros serviços, com 773 milhões de senhas únicas vazadas — o chamado Collection #1. O que poucos esperavam é que duas semanas depois seria revelada uma coleção ainda maior de informações do tipo circulando livre e gratuitamente na deep web.

Chamado de Collection #2-5, o banco de dados concentra 2,2 bilhões de nomes de usuário acompanhados de senhas para múltiplos serviços online — e está sendo distribuído livremente em fóruns hackers e torrents. São 845GB de informações roubadas, que atingem boa parte da população online, circulando de forma irrestrita na parte oculta da internet.

Segundo Chris Rouland, especialista em segurança consultado pela revista Wired, essa é a maior coleção de credenciais roubadas já vista. Ele conta que esses dados já circularam amplamente entre a comunidade hacker. O torrent do arquivo tem pelo 130 pessoas fazendo o trabalho de “seed”: elas têm o arquivo completo e distribuem para os interessados em fazer download.

O que faz que essa coleção de credenciais seja mais perigosa que o normal, além do tamanho, é o fato de que ela está sendo distribuída sem qualquer restrição. Normalmente, esses bancos de informações roubadas são vendidos em pacotes na comunidade hacker, o que, de certa forma, restringe um pouco o seu alcance. Quando elas são distribuídas de uma forma tão aberta, qualquer um que tenha interesse em fazer o mal pode ter acesso aos dados.

Como é comum nos casos de grandes coleções de credenciais roubadas, o banco de dados é composto por vazamentos de todos os tipos. Várias combinações de nome de usuário e senha já não são mais válidas justamente por serem resultado de vazamentos antigos, cujas vítimas já foram notificadas — como, por exemplo, o roubo de informações do LinkedIn e do Dropbox.

O Hasso Plattner Institute (HPI), unidade especializada em tecnologia da informação da Universidade de Potsdam, na Alemanha, decidiu catalogar em seu banco de dados as informações contidas no Collection #2-5 e descobriu que 750 milhões das credenciais eram novas. Você pode conferir se alguma informação sua está na lista por meio do serviço Info Leak Checker, mantido pelo HPI. Basta digitar seu endereço de e-mail e, depois de alguns minutos, receberá uma mensagem na caixa de entrada informando todas as ocorrências ligadas a ele.

Esse tipo de vazamento é perigoso por muitos motivos. Talvez o mais danoso deles seja o que tem a ver com a técnica “credential stuffing”, que é bem fácil de entender e busca atingir quem repete uma mesma senha em múltiplos sites.

Assim, se o e-mail e a senha que você usa na Netflix, por exemplo, caírem nas mãos de hackers, eles podem tentar usar as informações para fazer login na Uber ou na Amazon, bem como usar seu cartão de crédito sem autorização ou tentar a mesma combinação para entrar no Gmail, ler conversas privadas, roubar informações pessoais e ter o controle sobre basicamente sobre toda a sua vida digital.

Vale a pena conferir tanto o Info Leak Checker quanto o Have I Been Pwned? se seu e-mail já esteve envolvido em um vazamento de dados conhecido publicamente. A recomendação, caso você tenha sido afetado, é trocar as senhas de todos os serviços em que você a tenha repetido.