Este é um dos maiores roubos de dados pessoais de sempre, só é ultrapassado pelo que ocorreu na Yahoo em que foram afectadas mais de 4 mil milhões de pessoas. Neste último incidente, divulgado recentemente, foram roubados 772,904,991 endereços de email únicos e mais de 21 milhões de passwords, que estiveram disponíveis publicamente no serviço de partilha de ficheiros através de cloud MEGA.
A primeira pessoa a anunciar o roubo foi Troy Hunt, o responsável pelo site ‘Have I Been Pwned‘ que tem como objectivo informar os utilizadores se o seu endereço email foi roubado e se sim que serviços online foram afectados para que o utilizador altere os dados de acesso.
Antes de terem sido limpos por Troy, que removeu toda a informação que não interessava, os dados eram compostos por tabelas que tinham 2,7 mil milhões de linhas em que estavam endereços de email e passwords, em toda esta informação estavam mais de mil milhões de combinações únicas de emails e passwords. Da informação divulgada agora, cerca de 140 milhões de endereços de email não estavam presentes na base de dados do site ‘Have I Been Pwned’.
Os dados colocados no serviço MEGA estavam numa pasta chamada ‘Collection #1’ que continha mais de 12000 ficheiros, que ocupavam 87 Gigabytes. Ainda não foi possível confirmar a proveniência destes ficheiros, mas pensa-se que tenham sido copiados a partir de 2000 bases de dados dos mais diversos serviços online cuja encriptação foi ultrapassada.
Segundo declarações de Hunt à revista Wired “Isto parece ser uma colecção de informação removida aleatoriamente do máximo de sites possível com um único objectivo de maximizar a quantidade de credenciais na posse dos hackers. Não se percebe nenhum padrão, só exposição máxima.”
Estas listas de endereços de email parecem ter sido pensadas para serem utilizadas em ataques em que os hackers vão tentando muitas combinações de emails e passwords reais para aceder a sites ou serviços. Normalmente estes processos são automáticos e funcionam particularmente bem com os utilizadores que reutilizam passwords para vários serviços diferentes.
A informação descoberta por Hunt já está incorporada na base dados do site ‘Have I Been Pwned‘, por isso se aceder ao site e inserir os seus endereços email pode ver se a sua informação faz parte deste ou de outros roubos de informação. Se quiser também pode fazer uma busca usando as suas passwords para ver se aparecem em algum dos roubos de informação conhecidos.
Se o seu endereço ou password aparecerem nos resultados da busca, mude as suas passwords imediatamente. Outra coisa que pode fazer é começar a utilizar um programa de gestão de passwords que serve para gerar passwords complexas automaticamente reunindo toda essa informação num único local protegido com uma única password, que pode ser algo mais simples de se lembrar em vez de utilizar sempre a mesma password para todos os serviços. Outra coisa que pode fazer é ligar a autenticação de dois factores nos serviços que disponibilizarem essa função. Assim, mesmo que os hackers tenham a sua informação, se tentarem entrar no serviço receberá um aviso automático por email ou por mensagem no seu smartphone.
