2019/01/17

Novo data leak revela 773 milhões de emails e 21 milhões de passwords


Não há pior forma de começar o dia do que com um email do Have I Been Pwned a dizer que o nosso email apareceu em mais um pacotes de dados que circulam na internet, mas desta vez podem ter o ligeiro consolo de saberem que existem mais 773 milhões de pessoas a receberem o mesmo aviso.

Trata-se do maior data leak de todos os tempos, na sua origem contendo mais de 2.7 mil milhões de registos oriundos de milhares de fontes diversas, e que resultam em mais de 1.6 mil milhões de combinações únicas de emails e passwords, que podem ser destilados em 773 milhões de emails únicos e 21.2 milhões de passwords únicas.

O que isto significa é que, há boas probabilidades que qualquer pessoa que ande pela internet há alguns anos, e se tenha registado em fórums ou outros sites, esteja incluído neste grupo.

Embora seja preocupante, isto não significa que devam entrar em pânico (a não ser talvez se tiverem cometido a barbaridade de usar a mesma password para diferentes serviços!) - já que se pode dar o caso de terem sido apanhados apenas por se terem registado em sites "sem grande importância", provavelmente com passwords descartáveis sem qualquer preocupação com a segurança.

No entanto o caso muda de figura se fizerem parte do grupo de pessoas que tem usado a mesma password ao longo dos anos, tanto para sites duvidosos como para serviços mais importantes como o email, redes sociais, etc. Se assim for, é altura de rapidamente tratarem do assunto, começando por trocar imediatamente a password do serviço de email, serviços bancários (se aplicável), redes sociais, lojas online, e todo e qualquer serviço que utilizem regularmente ou considerem de importância crítica (não se esqueçam de coisas como Dropbox e afins, que podem dar acesso a ficheiros que podem conter informação sensível que permita ataques secundários a outros serviços). Idealmente, activem também a autenticação 2-factor, se disponível, e considerem utilizar um serviço de gestão de passwords como o 1Password - que é o recomendado pelo Have I Been Pwned.

No caso de usarem passwords "manuais", podem também testar algumas das vossas passwords neste serviço (sendo que isso é feito de forma segura, sem que sejam enviadas para lá) para saberem se já fazem parte do "espólio" que se tornou informação pública na internet.

18 comentários:

  1. para passwords, uso o Dashlane, gratis, multiplataforma e para mim, superior ao 1Password...

    ResponderEliminar
  2. A usar o Bitwarden deste lado. Multiplataforma, grátis e open-source.

    ResponderEliminar
  3. Estas recomendações só deverão ser consideradas por quem aparece listado no Have I Been Pwned, certo?

    ResponderEliminar
  4. Engraçado: TODOS os meus emails aparecem Pwend... Lá terei que mudar pw e usar um destes gerenciadores (que nunca tiveram a minha confiança...)

    ResponderEliminar
    Respostas
    1. se a password do teu email for UNICA, entao o leak foi para o serviço em questão

      Eliminar
  5. Recomendo um e um único: KeePass

    é o unico que:
    - é opensource
    - tem desenvolvimento constante
    - não se tem que confiar que a implementação do lado do servidor está correta
    - é gratuito
    - não ficamos com os dados presos a uma mensalidade

    ResponderEliminar
    Respostas
    1. Errado. Bitwarden é tudo isso também.

      Eliminar
    2. https://bitwarden.com/#organizations

      curioso este modelo de negócio. então pq usar este em vez do keepass, se não trás nada de novo e ainda me adiciona constraints ?

      Eliminar
    3. É um modelo de negócio como outro qualquer, o open-source não tem de ser sinónimo de 100% gratuito e pro-bono. No meu caso o que dizes que são constraints não me afectam, sou utilizador singular e a base permite-me fazer tudo o que quero.

      Além disso, todas as apps são oficiais (mobile, desktop, extensions) e desenvolvidas no mesmo seio, não são umas daqui e outras dali.

      O facto de permitir utilizar um servidor centralizado PRÓPRIO ou o servidor DELES é uma grande vantagem: quem se preocupa mesmo com segurança e percebe do assunto, utiliza o seu próprio servidor, quem é mais leigo mas ainda assim quer usar um gestor de passwords, pode usar o deles - ideal para recomendar a familiares e amigos menos versados em tecnologia, denotando sempre que devem usar Master Password + 2-Factor Authentication

      Eliminar
  6. É seguro dizer-se em público qual o gestor de palavras-passe que se usa?

    ResponderEliminar
    Respostas
    1. Se não for, já é indicação de que estás a usar um gestor pouco recomendado! :)

      Nesse aspecto é como a Inês refere: um programa não tem, nem deve, esconder-se atrás da "obfuscação" para se fazer passar por seguro. Pode / deve ser open-source, e assim garantir que é seguro mesmo estando à vista de todos.

      (Já as passwords, obviamente que não deverão ser reveladas publicamente, não confundir! :)

      Eliminar
  7. Nunca usei um gestor, mas com este último leak tenho todos os meus e-mails expostos, a minha pergunta é muito simples, estes gestores são seguros mesmo?

    ResponderEliminar
    Respostas
    1. Tens alguns dos indicados que são open-source e podem manter os dados apenas localmente (encriptados, obviamente). Pelo que nem sequer tens que "confiar" em entidades externas.

      Eliminar

[pub]