Esta é a maior coleção de dados roubados. São mais de 12 mil ficheiros e 87 gigabytes de dados pessoais comprometidos.
Trata-se de uma das maiores violações de dados dos últimos anos. O caso conhecido como Collection #1 foi divulgado por Troy Hunt, investigador de segurança informática, que adiantou que foram revelados mais de 770 milhões de endereços de email e passwords.
Troy Hunt, especialista em cibersegurança, é também o criador do site Have I Been Pwned, que ajuda os utilizadores a perceber se as suas credenciais de acesso foram roubadas ou não.
O especialista escreveu um artigo sobre este caso no seu blogue onde explica que o Collection #1 “é um arquivo de endereços de email e palavras-passe com 2.692.818.238 linhas no total”.
Destas linhas, mais de mil milhões são combinações de email e palavra-passe diferentes.O número de palavras passe é ligeiramente mais baixo porque muitas pessoas usam a mesma password para vários sites. O documento estava alojado numa plataforma de armazenamento na nuvem, o Mega, de onde o ficheiro original foi entretanto retirado.
No artigo, Hunt deixa em aberto a possibilidade de este arquivo ser constituído por dados resultantes de uma fuga de informação. Usando os dados retirados de “muitas falhas de segurança individuais, de milhares de fontes diferentes”, e não de um único ataque, o arquivo foi construído ao longo de vários anos, acredita o especialista.
Nos últimos anos houve vários ataques informáticos e falhas de segurança, que atingiram nomeadamente o MySpace em 2008, o Tumblr em 2013 e o LinkedIn em 2016, tendo sido roubados milhões de emails e outros dados pessoais. Ainda assim, “há cerca de 140 milhões de emails” neste pacote que “o Have I Been Pwned nunca tinha encontrado antes”.
“Estas listas que contêm os nossos emails e palavras-passe são usadas para tentar ver outros serviços onde as passwords podem funcionar”, alerta Hunt. Por isso, usar a mesma palavra-passe para mais do que um site é um erro crasso.
“O sucesso deste tipo de ataques depende do facto de as pessoas usarem as mesmas credenciais em vários serviços. Possivelmente a vossa informação pessoal está nesta lista, porque se inscreveram num fórum, do qual já se esqueceram há muitos anos, que era vulnerável, e vocês continuam a usar a mesma password em todo o lado, e, por isso, têm um problema sério”, avisa.
