Coleções 2 a 5 expõem bilhões de credenciais online

cybercrime

Conforme já divulgado anteriormente, aqui mesmo no blog, milhões de credenciais de acesso haviam sido divulgadas, comprometendo informações como senhas e e-mails de usuários ao redor do mundo, no que ficou convencionado chamar de Collection #1, ou Coleção nº 1 em uma tradução livre.

Agora, foram divulgadas as Coleções nº 2 a 5, expondo online o que se acredita chegar a um montante de 3.5 bilhões de credenciais. Profissionais de segurança acreditam que estas bases se originam de um pacote de sete coleções diferentes, compostas por gigabytes de informações cada, somando quase 1 terabyte de dados no total. Algumas destas bases já haviam sido divulgadas bem antes, sendo compartilhadas online desde 2017, enquanto outras não estavam disponíveis até recentemente.

Um time que atua com ameaça a inteligência, junto a uma empresa de segurança nos Estados Unidos chamada Recorded Future, afirma que um cibercriminoso que atende pelo pseudônimo de C0rpz é o responsável pelos vazamentos, e que este coletava estes dados durante os últimos 3 anos, vendendo as coleções divulgadas recentemente a outros criminosos, que passaram a disseminar esses dados via torrent, fóruns de discussão, ou disponibilizando-as em sites de armazenamento como o Mega.

Embora afirmem que estes agentes maliciosos sejam os responsáveis pela coleta e divulgação, os pesquisadores da Recorded Future não veem relação destes com a violação na segurança de empresas recentemente, não encontrando evidências de que estes sejam os responsáveis por invasões que levassem à coleta destes dados, o que leva a crer que tenham apenas coletado estas credenciais ao longo do tempo, esperando pela oportunidade de lucrar com os dados acumulados.

O que pode ser feito para evitar que estas divulgações comprometam toda a sua experiência online, é tomar os cuidados listados no post anterior, além da habilitação da autenticação em dois fatores sempre que possível, prevenindo que a violação de segurança em um determinado serviço permita o acesso a outros que utilizem online.

Mais detalhes a respeito da nova divulgação podem ser lidos, em inglês, na postagem original junto ao site ZDNet.

Mais credenciais comprometidas. O que fazer?

lost-businessman_23-2147618186

Fonte da imagem: https://www.freepik.com/

Mais uma vez, milhões de credenciais foram divulgadas durante essa semana, em uma das maiores publicações deste tipo na história.

Afirma-se que mais de 770 milhões de endereços de e-mail, e senhas, foram adicionadas a outras bases de credenciais comprometidas anteriormente, virando notícia em sites como o Olhar Digital, bem como o blog da companhia de segurança Kaspersky Labs, entre outras tantas mídias digitais.

O montante de dados foi divulgado por Troy Hunt, pesquisador de segurança e criador do site Have I Been Pwned, que provê um serviço de consultas a estas mesmas bases, permitindo aos usuários que verifiquem se o e-mail informado está entre os listados como comprometidos.

Como estes vazamentos se tornam cada vez mais frequentes, o cuidado na manutenção de dados pessoais faz-se essencial e, portanto, vou passar a publicar dicas de segurança básicas para a proteção destas informações. As primeiras dicas são relacionadas a senhas.

Sempre mantenha senhas diferentes para serviços diferentes. Se você tem cadastro em diversos serviços na Internet, como redes sociais, serviços de correio eletrônico, bancos digitais, entre outros, procure cadastrar senhas diferentes para cada um deles. Assim você minimiza a chance de que o comprometimento de um serviço leve ao acesso indevido de outros, devido a utilizarem as mesmas credenciais de acesso.

Crie senhas com alta complexidade na combinação de caracteres. Outro artigo publicado no site Olhar Digital traz uma lista que aponta as 25 senhas mais utilizadas no mundo durante o ano passado. Isso mostra o quão fácil se torna comprometer uma conta pessoal, a partir da utilização de senhas fracas e comuns.

Por isso é necessário criar senhas complexas, envolvendo letras maiúsculas, minúsculas, números, caracteres especiais, de preferência utilizando frases longas, porém de fácil memorização, evitando assim o uso de senhas mais fáceis de serem descobertas como datas de nascimento, nomes de parentes, entre outras. Daí vem a pergunta, mas como lembrar de tantas senhas complexas e diferentes para manterem-se seguros utilizando diversos serviços?

Isso leva a outra dica: Utilize gerenciadores de senhas. Eles permitem o registro, organização, e manutenção de senhas, guardando-as em bases relativamente seguras, podendo gerar as senhas automaticamente para você, e com complexidades diferentes, mantendo inclusive um histórico das alterações, facilitando a troca destas quando necessário.

Esse recurso possibilita que você armazene centenas de credenciais para o acesso a diversos serviços, sendo necessário apenas se preocupar com a senha configurada para o acesso à aplicação, bem como em sempre manter a sua base de senhas atualizada, quando da troca das credenciais junto aos serviços utilizados.

Uma das várias opções de gerenciadores de senhas, disponíveis no mercado, é o software livre Keepass, disponível em versões para diversos sistemas operacionais, como Windows, GNU/Linux, Mac OS, Android, iPhone, Chromebook, entre outras, tanto em versões de 32 bits quanto de 64 bits. A nomenclatura do app pode variar de acordo com o sistema operacional utilizado, porém são fáceis de localizar na página de downloads da aplicação.

O Keepass é um dos aplicativos coberto pelos investimentos realizados pela União Européia, e que oferece o pagamento de recompensas pela descoberta e reporte de falhas de segurança na aplicação, assim como divulgado recentemente aqui mesmo neste blog.

Esses investimentos permitem que a aplicação seja testada por pesquisadores, bem como possibilita que falhas de segurança existentes sejam descobertas e corrigidas mais rapidamente.

Mesmo empregando complexidade, e a utilização de recursos como os gerenciadores para a geração destas credenciais, também é preciso seguir uma última recomendação, que é trocar as senhas com regularidade.

A facilidade na geração de senhas complexas, oferecida por tais ferramentas, simplifica o processo de troca das credenciais com regularidade, proporcionando um maior grau de segurança através da rotatividade constante das informações de acesso.

Utilizando senhas complexas e diferentes para serviços diferentes, além de armazená-las de forma segura em gerenciadores de senhas, trocando-as regularmente, permite a minimização dos riscos de comprometimento das credenciais utilizadas para os serviços do dia a dia, ajudando a manter uma navegação mais segura.