(Última atualização em 10 Setembro, 2020)
As passwords são o mecanismo de autênticação mais usado na internet mas elas estão longe de ser eficientes.
Dificilmente existirá um dia vai sem notícias sobre qualquer violação de dados significativos. No ano passado, biliões de contas de sites e serviços populares, incluindo LinkedIn, Tumblr, MySpace, Last.FM, Yahoo !, VK.com foram expostos na Internet. Agora, de acordo com notícias recentes, as credenciais de login e outros dados pessoais vinculados a mais de um milhão de contas do Yahoo e do Gmail estão a ser oferecidos para venda no mercado escuro da net. As contas on-line listadas para venda na Dark Web supostamente contêm nomes de usuários, e-mails e senhas de texto sem formatação. As contas não são de uma única violação de dados; em vez disso, acredita-se que existiram grandes ciber-ataques. O hacker que se identifica como “SunTzu583” tem à venda listas de emails em diversos sites na Dark Web.
Aqui está a lista completa das contas e dos seus preços:
- 100.000 contas Yahoo adquiridas a partir da 2012 Last.FM por 0.0084 Bitcoins ($ 10.76).
- Outras 145.000 contas do Yahoo foram adquiridas a partir de dois roubos de dados separados – a violação de dados Adobe 2013 e a quebra do MySpace 2008 – por 0,0102 Bitcoins (US $ 13,75).
- 500.000 contas do Gmail desde o hack do MySpace 2008, a violação do Tumblr de 2013 e a violação do Bitcoin Security Forum de 2012 por 0.0219 Bitcoins ($ 28.24).
- Outras 450.000 contas de Gmail por 0,0201 BTC (USD 25,76), que vieram de várias outras violações de dados no Dropbox, Adobe e outros que ocorreram entre 2010 e 2016.
A violação de dados Last.FM de 2012 expôs 43 milhões de contas de usuários que foram publicamente lançadas em setembro do ano passado.
A violação da Adobe em outubro de 2013 expôs mais de 153 milhões de contas contendo IDs internos, nomes de usuários, e-mails, senhas criptografadas e uma dica de senha em texto simples.
A violação de dados do MySpace em 2008 expôs 360 milhões de contas de usuários, contendo nomes de usuário, e-mails e senhas descriptografadas (texto simples), que foram lançadas na Dark Web em 2016.
O serviço de e-mail Gmail do Google é conhecido por ser um dos serviços de e-mail mais seguros, mas nenhuma empresa pode proteger as suas contas de hackers devido a uma violação de dados de terceiros.
Milhões de contas do Gmail, em que nomes de usuários, e-mails e senhas de texto simples foram expostos, foram roubados em várias violações de dados no Bitcoin Security Forum, Tumblr, Last.fm, 000webhost, Adobe, Dropbox, Flash Flash Revolution, LookBook e ISO Xbox360. Entre 2008 e 2016.
Os dados listados para venda pelo SunTzu583 não foram verificados independentemente pela The Hacker News, mas foi verificado, correspondendo aos dados de um número de plataformas de notificação de violação de dados, incluindo Hacked-DB e HaveIBeenPwned.
Manter as suas passwords seguras
Escusado será dizer que deve imediatamente alterar quase todas as senhas das sua conta pelo menos uma vez.
Selecione a autenticação por dois fatores para todas as suas contas on-line imediatamente.
E mais uma vez, uma forte recomendação: não reutilize senhas.
Além disso, é recomendável alterar a sua senha a cada poucos meses, o que limita o tempo que uma senha roubada é útil para um hacker.
Uma vez que ninguém se pode lembrar e recriar senhas fortes para cada conta on-line regularmente, a melhor prática é usar um gerenciador de senha. Ele gerará, armazenará e alterará regularmente senhas fortes e exclusivas para todas as suas contas.