A equipe de pesquisa de ameaças da Microsoft examinou todas as contas de usuários da empresa e descobriu que 44 milhões de pessoas usam nomes de usuário e senhas que vazaram online após violações de segurança de outros serviços. A verificação foi realizada entre janeiro e março de 2019.
A Microsoft informa que examinou as contas usando um banco de dados com mais de três bilhões de credenciais vazadas, que foram obtidas de várias fontes, como policiais e bancos de dados públicos. Essa verificação ajudou a identificar pessoas que reutilizaram os mesmos nomes de usuários e senhas em diferentes serviços online.
O total de 44 milhões inclui contas de serviços da Microsoft, mas também do Azure AD. “Para as credenciais vazadas para as quais encontramos correspondências, forçamos uma redefinição de senha. Nenhuma ação adicional é necessária da parte do consumidor”, afirmou a Microsoft.
A fabricante de sistemas operacionais tem sido uma forte defensora das soluções de autenticação multifatorial. O sistema fornece uma proteção adicional ao exigir, além das credenciais padrão, um código de seis dígitos gerado aleatoriamente por um sistema próprio. De acordo com a Microsoft, ataques a esse tipo de sistema são tão raros, que eles não têm qualquer estatística sobre algum tipo de ameaça contra ele.
A empresa normalmente adverte contra o uso de senhas fracas ou fáceis de adivinhar ao configurar uma conta, mas esses avisos não consideram cenários em que a reutilização de senhas é uma realidade.
Esse tipo de problema ocorre porque os usuários utilizam uma senha complexa, que passaria nas verificações da Microsoft, em outros serviços que solicitam o mesmo tipo de autenticação.
Quando um serviço sofre um ataque e sua segurança é violada, as credenciais dos usuários podem ser roubadas e vazadas online. Isso inadvertidamente coloca em risco todo e qualquer outro serviço configurado com as mesmas informações.
Por esse motivo, a Microsoft recomenda cautela na reutilização de senhas, já que, com esses dados em mãos, cibercriminosos podem tentar obter acesso a outras contas como Google, Facebook e Twitter.
Via: ZDNet