Hacker coloca à venda suposta lista de quase 10 bilhões de senhas

Olimpíadas 2024: descubra como funcionam os tributos sobre os prêmios recebidos pelos atletas

Dois sistemas tributários funcionando em paralelo: Entendendo a coexistência dos sistemas atual e novo

Popular
MKT .
30/07/2024
leitura de 3 min
Off On

Recentemente, houve um vazamento significativo de dados conhecido como “RockYou2024”, que expôs quase 10 bilhões de senhas online. Essa coleção inclui senhas de diversas violações de dados passadas, combinando credenciais comprometidas antigas e novas. A lista, disponível em fóruns de hackers, contém 9,9 bilhões de senhas únicas em texto simples, ou seja, sem criptografias, representando um risco substancial para possíveis ataques cibernéticos.

O que é RockYou2024?

RockYou é uma referência à antiga empresa de serviços online que sofreu um vazamento de dados em 2009. Na ocasião, 32 milhões de contas foram expostas após terem suas senhas armazenadas sem criptografia.

O veículo também afirmou que a compilação parece ter senhas coletadas de 4.000 bancos de dados ao longo de duas décadas.

Desde então, outras listas de senhas aproveitaram este nome e passaram a circular na internet. A RockYou2024 é a atualização mais recente, divulgada em 4 de julho.

O que tem na RockYou2024?

A lista foi anunciada como um arquivo de texto com bilhões de senhas, sem referência a outros tipos de dados, como e-mails e nomes de usuário, que costumam ser citados para aumentar o interesse por esse tipo de material.

Na RockYou2021, a compilação não incluiu nomes de usuário, mas tinha um problema maior: a maioria das supostas senhas não eram credenciais vazadas, e sim palavras retiradas do Wikipedia e do Projeto Gutenberg, site que digitaliza obras literárias.

A informação foi revelada na época por Troy Hunt, criador do site “Have I Been Pwned”, que monitora vazamentos de dados. Sobre a nova versão da RockYou, ele afirmou que não há motivos para se preocupar.

O arquivo seria o maior pacote de senhas roubadas da história, segundo Cybernews, site dos EUA especializado em cibersegurança.

Só que, ainda segundo o Cybernews, a maioria das senhas já tinha sido anunciada na internet em 2021, em outra versão do RockYou, que alegava reunir 8,4 bilhões de credenciais. Ou seja, muitas delas podem já ter sido substituídas.

Além deste fator, especialistas colocam em dúvida o potencial dessa lista pelos seguintes motivos:

  • os registros, em sua maioria, parecem não ser senhas, de fato, e sim palavras tiradas de sites como Wikipedia;
  • a RockYou2024 supostamente reúne apenas senhas, sem que elas estejam associadas a e-mails ou nomes de usuários, dificultando invasões a contas;
  • parte das senhas que realmente foram vazadas pode estar corrompida, isto é, não ser exibida da forma correta, o que faria esses registros serem inutilizados.

Essas listas de senhas como a RockYou2024 podem ser usadas por criminosos para aplicar os chamados “ataques de força bruta”.

“No ataque de força bruta, você tem uma lista de senhas conhecidas, vai a um site e tenta usar diferentes combinações na esperança de que a vítima esteja usando uma delas, ou seja,  está tentando tudo ao alcance para tentar arrombar a porta. Então, você continua tentando, tentando, até que algo funcione” diz engenheiro de pesquisa sênior da Tenable, Satnam Narang.

Para que servem listas de senhas?

Esse tipo de material serve para os “ataques de dicionário” ou “ataques de força bruta”, métodos menos sofisticados em que hackers buscam invadir contas por tentativa e erro, a partir da combinação de um e-mail ou nome de usuário com as senhas presentes na lista.

A técnica não serve para serviços online mais conhecidos, que costumam limitar o login depois de um determinado número de tentativas de acesso erradas. Mas pode ser útil para sites menores, em que não há tanta segurança.

Este vazamento destaca a importância de não reutilizar senhas em vários sites e usar senhas complexas e únicas para aumentar a segurança. Também é recomendável habilitar a autenticação de dois fatores sempre que possível, para adicionar uma camada extra de segurança​.

  1. Use senhas diferentes, sem repeti-las em vários serviços;
  2. Para lembrar de todas, adote um gerenciador de senhas – alguns deles informam caso elas apareçam em vazamentos de dados;
  3. Ative o gerenciamento em duas etapas, que exige um segundo fator de autenticação além da senha para acessar suas contas;
  4. Monitore seus dados por meio de sites como o Have I Been Pwned, que informa se eles apareceram em um vazamento;
  5. Informe dados fictícios nos casos em que eles não são necessários – um site de jogos online nem sempre precisa do seu endereço, por exemplo.

 

Instagram: @carlospintoadv

Linkedin: linkedin.com/company/carlospintoadvocaciaestrategica

Acompanhe nosso blog para mais informações, se tiver dúvidas ou precisar de orientação específica, entre em contato com nossos especialistas.

Entre em contato

 

 

Comentários Facebook

Postagens Relacionadas