O Pesquisador de Segurança e Fundador do Site “Have i been pwned” Troy Hunt informou em seu blog que acaba de adicionar no banco de dados do Site cerca de 700 Milhões de E-mails. Confira neste post que um vazamento de dados expõe mais de 700 Milhões de E-mails.
Para chegar neste número Hunt usou técnicas para excluir do Banco e-mails, senhas e informações repetidas, ou em má formação.Este Conjunto total de linhas chega próximo dos 2.7 Bilhões. Está composta com muitas informações e dados individuais de milhares de fontes diferentes.
Segundo Hunt em seu blog, no total, existem 1.160.253.228 combinações de endereços de e-mail e senhas.Os endereços de e-mail exclusivos e carregados para o site, totalizaram 772.904.991, sendo 21.222.975 de senhas exclusivas.
Portanto este número faz com que este seja o maior banco de dados carregado no site desde o seu surgimento.O nome da lista recebeu um nome Collection #1. Consequentemente você pode verificar facilmente no site se seu e-mail ou senha está incluído neste banco.
O site contém bancos de dados vazados, que na data de hoje somados chegam a incríveis 6,474,028,664 de e-mails. Destes, 551.509.767 de senhas exclusivas.
A Origem dos Dados
Na semana passada, várias pessoas entraram em contato e direcionaram Hunt para uma grande coleção de arquivos. Estes foram alocados no popular serviço em nuvem, o MEGA (os dados foram removidos do serviço).
A coleção totalizou mais de 12.000 arquivos separados e mais de 87 GB de dados.Um de seus contatos indicou um fórum de hackers popular (mas não informado) em que os dados estavam sendo socializados.
O post no fórum referenciava “a collection of 2000+ dehashed databases and Combos stored by topic”. Ainda forneceu uma lista de diretórios de 2.890 dos arquivos.
Hunt também afirma em seu post que nem todas os e-mails tem fontes de violações específicas ou conhecidas. Estes ainda podem ter estes dados adicionados de diversas formas.
No Entanto Hunt afirma que seus dados pessoais estavam neste montante de endereços e inclusive senhas antigas dele. Segundo o mesmo “felizmente” já foram modificadas.
Verificando Endereços de Email e Senhas no Have I been pwned (HIBP)
Segundo Hunt, o HIBP nunca armazena senhas ao lado de endereços de e-mail e há muitas razões muito boas para isso .
O Site armazena Hashs dessas senhas em seus bancos, que por sua vez permite que as mesmas possam ser verificadas, usando o recurso “Passwords” clicando aqui.
Nesta mesma página é possível fazer o Download das listas de todas as Hashs vazadas, o que permite que reutilize em softwares específicos para verificar se a senha já foi vazada.
A Hash nada mais é que sua senha em formato criptografado, isto permite que as senhas não fiquem abertamente na internet, mas sim um valor matematicamente compatível com elas.
Portanto vejamos agora como verificar se o seu e-mail e senha vazaram, não só na última, mas sim como em todas as listas de e-mail vazadas anteriormente. Vamos aos passos:
Verificando E-mails vazados
Após acessar este link, deverá completar um desafio para provar que não é um robô :
Ainda no site, logo após preencher você deve ser redirecionado para a Home, digite o e-mail que deseja buscar e clique em pwned:
Assim, caso seu e-mail esteja em uma das listas, a cor do site após clicar em pwned deve mudar. Veja o exemplo de um e-mail de um dos deputados:
E-mail vazado
Outra informação que poderá verificar é se a sua senha está nas listas, o link para acessar é este aqui:
Então caso sua senha tenha vazado você deve ter uma resposta parecida com está:
É sempre recomendada a autenticação de duas etapas. Além disso, use senhas diferentes para as suas contas. Senhas de alta complexidade e usar um dos diversos aplicativos que ajudam você a criar uma boa senha é salutar.
Caso já tenha sua senha vazada, é altamente recomendável que altere o quanto antes, ou exclua contas antigas.
No meu caso tive algumas contas como do Myspace vazada. Depois, apaguei a conta, visto que não utilizo mais a rede social.
