Senhas e outras informações pessoais pertencentes a até 2,2 milhões de usuários de dois sites – um serviço de carteira de criptomoedas e um provedor de bots para jogos – foram publicados on-line, de acordo com Troy Hunt, pesquisador de segurança por trás do programa de notificação de violações “Have I Been Pwned”.
Um banco de dados inclui informações pessoais de até 1,4 milhão de contas do serviço de carteira de criptomoedas GateHub. O outro contém dados para cerca de 800.000 contas no EpicBot, provedor de bots para o jogo RuneScape. Os bancos de dados incluem endereços de e-mail e senhas que foram criptografadas com bcrypt, uma função que felizmente é uma das mais difíceis de decifrar.
A pessoa que postou o banco de dados de 3,72 GB do GateHub disse que ele também inclui chaves de autenticação de dois fatores, frases mnemônicas e hashes das carteiras, embora os funcionários do GateHub tenham dito que uma investigação sugeriu que os hashes das carteira não foram acessados. O banco de dados da EpicBot supostamente incluía nomes de usuário e endereços IP. Hunt disse que selecionou uma amostra representativa de contas de ambos os bancos para verificar a autenticidade dos dados. Todos os endereços de e-mail que ele verificou pertenciam a contas registradas nos dois sites.
Os dados das contas do Gatehub, publicados em um popular fórum de hackers no final de agosto, surgiram três meses depois que o serviço informou que havia sido hackeado. Segundo o GateHub os invasores roubaram – ou pelo menos tentaram roubar – informações confidenciais de mais de 18.000 contas de usuários. Entretanto, não ficou claro exatamente quais dados, além dos tokens de acesso, foram obtidos com êxito.
Já os dados do EpicBot foram postados no mesmo fórum de hackers em 25 de outubro. Hunt disse que eles contém cerca de 800.000 endereços de e-mail exclusivos, além de nomes de usuários, endereços IP e senhas com hashes de criptografia. Os funcionários do EpicBot não responderam aos pedidos de comentário, e seu site não traz nenhuma menção a uma invasão.
Como de praxe, recomenda-se que as vítimas troquem imediatamente suas senhas nos sites afetados, bem como em quaisquer outros sites onde usem a mesma senha (o que, aliás, é uma péssima idéia).
Fonte: Ars Technica