2016/09/07

100 milhões de passwords do Rambler.ru divulgadas na internet em plaintext


O Rambler.ru é o equivalente ao Yahoo na Rússia, e agora vê os dados e passwords de quase 100 milhões de utilizadores serem expostos na internet.

Se já é suficientemente preocupante lidar com os leaks de dados que incluem as hashes das passwords (sendo que a maioria delas pode ser recuperada numa questão de horas, no caso das passwords mais comuns ou com poucos caracteres); neste caso temos uma situação ainda mais assustadora, pois temos acesso às passwords em plaintext!

Embora o roubo destes dados já tenha ocorrido em 2012, muitos dos utilizadores nunca actualizaram as passwords, pelo que este leak disponibiliza dados que permitirão entrar nas contas de emails de milhões de utilizadores, e a partir daí apoderarem-se de outras contas para os quais tenham usado este email de registo.

É também assustador constatar que milhões de utilizadores utilizam passwords completamente básicas e inseguras, como se pode ver pelo top 10 (mas cuja insegurança se prolonga pelas posições seguintes):
  1. asdasd
  2. asdasd123
  3. 123456
  4. 000000
  5. 666666
  6. 654321
  7. cfreyjdf
  8. 123321
  9. 555555
  10. 123123
  11. 7777777
    (11 para incluir a sempre simpática passwords dos 7x 7 :)

A única password que parece escapar à lógica é a "cfreyjdf" na 7ª posição, mas imagino que possa ser uma sequência que faça sentido fazer num teclado com layout russo...

Em suma, e penso que será desnecessário repetir: nunca utilizar passwords simples, nem repeti-las em diferentes serviços (embora casos como estes, em que são roubados dados com as passwords em plaintext, demonstrem porque motivo se deve utilizar autenticação 2-factor sempre que seja possível!)

Sem comentários:

Enviar um comentário