Publicadas 21 milhões de passwords de emails

Trata-se de uma das maiores violações de dados de sempre. No total, são 87GB de dados que envolvem 773 milhões de emails e mais de 21 milhões de passwords

O investigador de segurança Troy Hunt descobriu uma violação de dados intitulado “Collection #1” que continha um total de 2,6 mil milhões de endereços de email e passwords de diferentes fontes.

No entanto, depois de limpar a base de dados e livrar-se das informações em duplicado, a base de dados foi reduzida para 772.904.991 endereços de email únicos. Já em termos de passwords, foram descobertas 21.222.975.

Segundo Troy Hunt, que construiu o site ‘Have I Been Pwnd’ para que seja fácil descobrir se o seu email fez parte de alguma violação de dados, afirma que esta é a maior violação de dados a ser carregada no site.

“Tal como acontece com os endereços de e-mail, isso foi depois de implementar um monte de regras para limpar o máximo possível, removendo senhas que ainda estavam em forma de hash, ignorando cadeias que continham caracteres de controlo e aqueles que eram obviamente fragmentos de SQL”, escreveu Hunt.

De acordo com o investigador “várias pessoas entraram em contato e direcionaram-me para uma grande coleção de arquivos no popular serviço cloud, MEGA”. Os dados foram posteriormente retirados, mas não antes de o ficheiro ter sido partilhado em fóruns de hackers. Ao que tudo indica, esta coleção tem um total superior a 12 mil arquivos separados e mais de 87 GB de dados.

Sergey Lozhkin, especialista em segurança da Kaspersky Lab, referiu que “esta coleção massiva de dados foi-se construindo a partir de sucessivas violações de dados ao longo de vários anos, o que significa que muitos dos detalhes das contas podem estar desatualizados. Contudo, não é segredo que, apesar de estarem conscientes dos perigos que existem, as pessoas continuam a usar as mesmas palavras-passe e a reutilizá-las em diferentes websites. Além disso, esta coleção pode ser facilmente simplificada numa única lista de e-mails e palavras-passe: e, assim, tudo o que os hackers têm de fazer é utilizar um programa de software relativamente simples para verificar se as palavras-passe estão, de facto, a funcionar. As consequências que advêm do acesso às contas dos utilizadores variam desde phishing, à possibilidade dos hackers enviarem automaticamente e-mails maliciosos para a lista de contactos das vítimas, com o objetivo de roubarem a identidade digital ou dinheiro às vítimas ou de comprometerem os seus dados nas redes sociais”.