RockYou2021: o que se sabe sobre vazamento de arquivo com bilhões de senhas

No início do mês, o vazamento de um arquivo com 8,4 bilhões de senhas deixou muita gente assustada pelo grade volume de dados. Até então, não existiam tantas informações sobre o ocorrido. Nos dias seguintes a notícia do que poderia ser o maior vazamento da história, profissionais da área começaram a destrinchar o documento.

Ao que parece, o caso, conhecido como RockYou2021, reúne não apenas senhas, mas também um banco de palavras. Por isso, é tão grande (100 GB, mais do que a memória de muito celular). Além disso, o arquivo foi criado a partir de um compilado de senhas que já haviam sido vazadas anteriormente (informação que já se tinha na época da descoberta).

Troy Hunt, criador da página "Have I Been Pwned", que mostra se uma senha já foi vazada ou não, defendeu que a lista "é uma agregação de várias outras listas".

"Não é uma lista de senhas do mundo real comprometidas em violações de dados, é apenas uma lista de palavras e a grande maioria nunca foram senhas", acrescentou.

Para justificar sua afirmação, Hunt recorre a matemática. "Basta fazer as contas: cerca de 4,7 bilhões de pessoas usam a internet. Eles reutilizam senhas como loucos, não apenas nos serviços que cada indivíduo usa, mas também em pessoas diferentes que usam as mesmas senhas. Então, apenas uma pequena parte de todos os serviços que existem foram violados", explicou.

"Portanto, existem 8,4 bilhões de senhas por aí, violadas e quebradas em uma única lista? Não, nem de longe", afirmou.

Ele ainda ressalta que a lista vazada é 14 vezes maior que as senhas que estão cadastradas no "Have I Been Pwned" justamente porque "a grande maioria das palavras não é senha".

A empresa norte-americana Privacy Sharks segue na mesma linha de Tory Hunt. De acordo com um levantamento divulgado pela companhia, o RockYou2021 é uma coleção de "senhas e credenciais violadas, senhas em potencial e listas de palavras".

Segundo Chris Partridge, referenciado no levantamento e que diz ter analisado o arquivo, palavras de artigos da Wikipedia e combinações conhecidas usadas em pesquisas de tendência de senhas constam no material. Para ele, não deve se falar em vazamento de dados de senhas, já que as informações foram só somadas a outras que já estavam na internet.

"Parece que muitos desses dados vazados já foram expostos em violações anteriores. Isso significa que a comoção causada é desnecessária; indivíduos têm acesso às credenciais e entradas vazadas no RockYou2021 há muito tempo", diz o comunicado da Privacy Sharks.

"Embora o vazamento de dados não seja uma grande preocupação, ele levanta a questão inevitável da segurança cibernética e o risco real de acesso não autorizado a contas online", acrescentou a empresa dos Estados Unidos.

Relembre o vazamento

O RockYou2021 ganhou notoriedade após uma pessoa disponibilizar um arquivo de texto contendo 100GB em um fórum de hackers. As combinações de senhas têm entre seis e 20 caracteres, sem os espaços em branco e com exceção de ASCII (tipo de linguagem unificada para computadores).

O tamanho do arquivo chamou atenção e levou alguns especialistas a acreditarem que poderia se tratava de algo maior do que o COMB (Compilation of Many Breaches), que expôs 3,2 bilhões de dados em fevereiro deste ano e era considerado o maior da história até então.

Thiago Bordini, chefe de inteligência de ameaças da empresa de segurança Axur, destacou na época que as informações do arquivo não possuíam dados adicionais, como email, nome ou data de nascimento de pessoas. "É apenas uma lista de senhas, o que não descarta cuidados, como troca periódica ou o uso de autenticação em dois fatores [quando além da senha é necessária a inclusão de um código adicional para fazer login em um serviço]", disse.

Na hora de criar novas senhas, faça combinações de números, caracteres e letras maiúsculas e minúsculas. Evite usar datas de aniversários de conhecidos e nomes de parentes.