Descoberto banco de dados com mais de meio bilhão de senhas roubadas

O WannaCry não é o único que anda causando estragos. Pesquisadores de segurança encontraram em volumoso banco de dados composto por mais de 560 milhões de senhas roubadas, dos mais diversos serviços e ninguém sabe de onde ele veio o quem (ou qual grupo) op compilou. De qualquer forma, este é um momento perfeito para trocar todas as suas chaves.

Os dados foram descobertos pelo Kromtech Security Research Center, e em parceria com Troy Hunt do site Have I Been Pwned já inseriu todas as informações no sistema, estando os usuários e senhas disponíveis para consulta pública. De acordo Bob Diachenko, líder de Comunicações da MacKeeper Security quem quer que seja o responsável por reunir todos esses dados em um só lugar apagou bem seus rastros, já que não foram encontradas dicas sobre a identidade do ou dos responsáveis.

O aterrador nessa história é que o banco também não possuía nenhum tipo de proteção, e estava circulando totalmente livre pela internet ao alcance de qualquer um com más intenções. O lote do entanto compila dados de inúmeros vazamentos anteriores, como se fosse um compêndio de senhas vazadas para hacker preguiçosos. Serviços como LinkedIn, Dropbox, Lastfm, MySpace, Adobe, Neopets, Tumblr, Badoo e outros estão entre aqueles presente no arquivo, portanto se você já tomou providências contra vazamentos desses serviços no passado há grandes chances de que não tenha sido afetado agora.

Ainda assim a quantidade de senhas reunidas assusta. Ao todo são mais de 560 milhões de chaves compiladas num só arquivo e por razões de segurança, os pesquisadores não revelaram onde o encontraram. No entanto, Diachenko alerta que pelo menos outros 313 lotes semelhantes, armazenados em servidores nos Esstados Unidos, Canadá e Austrália já foram rastreados. Logo o impacto na segurança de empresas e usuários finais pode ser ainda maior.

A lição aqui é simples: embora os vazamentos sejam antigos a facilidade com que os dados foram compilados, bem como a displicência em compartilha-los livremente mostra que muita gente é muito descuidada com seus dados e senhas. Logo, mantê-las seguras e sempre troca-las periodicamente é a melhor política de Segurança da Informação que podemos utilizar nesse caso.

Fonte: MacKeeper Security.

Relacionados: , , , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Vi essa em outro site, ante-ontem, e depois disso ativei verificação em dois-passos em tudo que é serviço que permite isso. Já vinha empurrando com a barriga há muito tempo 😛

    • Germano

      Ha algum tempo que estou fazendo o mesmo. Unico serviço “de risco” que ainda preciso fazer isso, se é que tem ainda não olhei, é o paypal. Mas o cartao cadastrado la esta cancelado e so vou cadastrar outro quando usar o serviço de novo então acho que estou fora de risco nesse tb.

      • Metalmacumba

        o meu cartão tá cadastrado e tá ativo. só não tem dinheiro nenhum na conta pra alguém usar. acho que

        é sonhar muito ganhar uns trocados na conta do paypal, né?

    • Islan Oliveira

      Das minhas contas principais (Twitter, Google, Microsoft, Facebook) só o Facebook está desativado porque eles usam o app pra isso.

      • Não, eu ativei via SMS, mesmo. Você tem que cadastrar o número de telefone, validar e aí então usá-lo como método de confirmação para dois-passos

        • Islan Oliveira

          Percebo que essas opções passaram por reformulação, antes eu nunca tinha visto tal opção. Obrigado pela dica.

          • É bem escondido, mesmo. Configurações -> Segurança e Login -> Use autenticação de dois fatores -> Habilitar “Mensagem de texto (SMS)” (informa o número do celular na hora, se precisar)

          • Islan Oliveira

            Já o fiz. Mas cara, até recentemente, as opções não estavam assim, só davam a opção de ser pelo aplicativo, que bom que mudaram.

  • Ed. Blake

    Meu email foi identificado como positivo graças a vazamentos no Linkedin (em 2016) e Dropbox (em 2012).

    Ainda bem que uso o LasPass desde o início deste ano para gerar e armazenar senhas geralmente com 20 dígitos, números e caracteres especiais e o que mais eu puder usar.

    • Raoni

      Ou não, LastPass é alvo de diversas vulnerabilidades.

      https://www.forbes.com/sites/thomasbrewster/2016/07/27/lastpass-vulnerability-hacks/#127ceef0127c

      • Ed. Blake

        Ouch! hahaha
        Acho que não tem pra onde correr…. sem gastar dinheiro.

        • Felipe Braz

          enpass, banco de senhas local e encriptado, da pra syncar com serviços como dropbox, owncloud etc pra acessar de qualquer device.

          OBS: mesmo que acessem seu dropbox (ou outro utilizado pra syncar) e roubem o arquivo com banco de senhas, ela é criptografada com AES (o mesmo algoritimo que o wannacry usa) então não teria muito o que fazer sem a senha-mestre =)

          • Daniel Belini

            Enpass eu tentei usar, achei MUITO ruim.

          • Felipe Braz

            Que coisa, pra mim atende perfeitamente… mas enfim, questão de gosto né.

          • Daniel Belini

            Os apps pareciam coisa de 1995, não conseguia sincronizar as senhas entre os dispositivos.
            Tinha que baixar plugin e instalar via linha de comando pra funcionar com o Firefox.
            O LastPass me atende muito bem, apesar de não ser perfeito, tem alguns aplicativos que ele não consegue inserir a senha e o app não aceita colar.

          • Felipe Braz

            Faz muito tempo que testou? Uso a uns 6 meses mais ou menos e a instalação no chrome e no opera foi bem tranquila.
            Sincronização faço pelo dropbox mesmo, sem maiores dificuldades atpe agora.

          • Daniel Belini

            Você me perdoa?
            Eu jurava que esse Enpass era um outro que também fazia sincronia pelos Dropbox da vida, mas era de graça.
            Será que rola algum desconto desse app comprando no site?

          • Felipe Braz

            O enpass pra desktop é de graça, o app do celular tbem , mas com limitações, só a versão pro que é paga. Não procurei por desconto pq a free me atende no celular =P

          • Marcelo

            Alternativa, tem o Safe In Cloud…funciona igual ao Enpass (BD local e/ou sincronizado na nuvem como drive, ondrive etc.), mesma criptrografia enfim… E é mais barato…R$17,00… peguei ele numa promo 2 semanas atras por R$9,00

            Estava testando ambos, e gostei mais o Safe In Cloud

          • Felipe Braz

            Interessante, vou testar. vlw =)

          • Daniel Belini

            Era o Keepass que achei mai feio que o cão chupando manga.

          • Marcelo

            Sim eu usava ele antes do Safe, é bem feinho mesmo rss… mas acho ele bem mais robusto na segurança…

            Além da senha, ainda podia usar um arquivo chave em conjunto, tornando praticamente impossível de quebrar, e tinha muitas opções adicionais para uma configuração mais refinada e segura.

            De app, só tinha de terceiro…kepass2android…tbm não era lá essas coisas

          • Paulo Andador

            Ótima escolha você fez…Uso o SafeInCloud há 2 anos já, e ele é excepcional. BD na nuvem, com AES 256-bit e sincronizaçao ilimitada de dispositivos. Ainda criei o hábito de 1 vez por semana fazer o backup do BD dele em outros dois locais, pra caso dê algum problema.

          • Marcelo

            Uma função que achei bem legal e que não tem nos outros que testei, é anexar documentos…
            De imediato não uso, mas ter essa possibilidade é bacana.

            Preciso ter esse hábito..por enquanto só tenho o bd no ondrive…se perder ou corromper, fodeu

          • Paulo Andador

            Sim, pode-se anexar tanto documentos quanto imagens.

          • Daniel Belini

            Vem cá, é impressão minha ou a versão grátis é igual a paga?
            O Enpass limita a 20 senhas no celular, mas o SafeInCloud, parece que não tem limites.

          • Paulo Andador

            A versão gratuíta fica limitada a 1 dispositivo. Na versão paga não há esse limite e você pode sincronizar a mesma conta em quantos dispositivos quiser. Fora isso, não ví diferenças!

          • Daniel Belini

            Obrigado Sr Paulo.
            Uma curiosidade, o sr é parente do tão do Joãozinho Andador?

          • Ed. Blake

            Boa! Vou dar uma olhada neste aí.
            Não conhecia. Obrigado!

          • OverlordBR

            Mas o bd local do lastpass é encriptado.

          • Felipe Braz

            Mas o lastpass guarda nos servidores deles, não? Ou é única e exclusivamente o bd local criptografado que nem o enpass?

          • OverlordBR

            Tem as duas opções.

            No default, é guardado nos servidores dele, criptografado.

            Mas tu podes gerar um arquivo criptografado no teu computador com as senhas. Tipo um export da vida.

          • Felipe Braz

            a questão é ser gravado nos servidores deles, criptografado ou não… até pq todo mundo diz que criptografa, mas esses tempos por exemplo os arquivos do dropbox ficaram expostos (que teoricamente tambem criptografa) na pratica não tem como saber se algo que fica em servidor alheio é realmente criptografado.

            Foi esse ponto especifico que me fez escolher o enpass mesmo não tendo a melhor interface.

        • Tom

          ss64.com/pass/
          faz o hashing (local) da tua senha gera uma de 20 caracteres, você pode adicionar mais sites e consegue baixar a pagina e rodar no celular

          • Daniel Belini

            Não entendi como isso funciona.
            Pelo que entendi ele só gera a senha, não guarda em lugar algum.

          • Tom

            aí que tá, você usa uma senha, que pode ser até fraca, mas gera senhas fortes que não ficam armazenadas

        • Não é uma solução na nuvem, mas eu uso o KeePass e estou muito satisfeito com ele.

          E aconteceu uma coisa parecida comigo. Deu positivo por conta de um vazamento do Tumblr (em 2013), mas também uso senhas com mais de 20 caracteres dentre letras, números e símbolos.

      • Daniel Belini

        Eu não me preocuparia mais com ESSA falha

        “But 24-year-old security researcher Mathias Karlsson had more details on
        the bugs he uncovered (LastPass has now fixed the flaw and rewarded the
        young researcher with $1,000 as a thank-you). Karlsson found problems
        in the way the LastPass browser extension added HTML code to every site
        he visited. Specifically, he found a flaw in the way the autofill
        feature worked.”

  • doorspaulo

    Felizmente, o meus usuários não estão na lista, apenas o gmail com aquela treta do Dropbox e LinkeIn.

    • Ricardo Gadelha

      Mesma situação minha

  • Maxnoob

    Graças a Adobe, Dropbox, Heroes of Newerth, Tumblr e SoundWave meus emails foram expostos </3

    • Raposão do Ártico 🦊

      usasse um email alternativo pra fazer os cadastros

      • Maxnoob

        Eu já não quero ter 2 emails. Por mim eu teria apenas 1

        • Raposão do Ártico 🦊

          então se fode aí

          • Maxnoob

            Autenticação de dois fatores, chupa!

  • Jefferson Viana

    Os caras ganham as vezes bilhões, e não tem um único funcionários que veja os carai dessas brechas de segurança?

  • OverlordBR

    Minha senha é GOD

  • DanielBastos

    Taquei um e-mail do yahoo de séculos atrás lá pra ver o que dava e não apareceu nenhum vazamento.
    Vai entender ….

  • tuts

    Sempre utilizo a verificação em duas etapas, devia ser padrão já que a infraestrutura da internet é muito suscetível​ a esses ataques.

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis