Vazamento pode ser até 46 vezes maior; emails custam US$ 200 no Telegram

Os quase 800 milhões de emails e senhas vazados podem ser apenas uma pequena amostra de uma biblioteca gigantesca de informações pessoais oferecidas na internet. O pacote de 87 gigabytes de dados assustou muita gente por conter 772.904.997 endereços únicos de email e 21 milhões de senhas únicas, mas ele é parte de um arquivo cerca de 46 vezes maior.

Chamado de "Coleção #1", o pacote foi encontrado em um fórum hacker por Troy Hunt, pesquisador de segurança que mantém o site Have I Been Pwned - a plataforma permite que você veja se seu email já foi comprometido por alguma brecha de segurança.

O nome do arquivo sinaliza a existência que ele é parte de uma sequência. Alex Holden, chefe de tecnologia da firma de segurança Hold Security, detalhou de qual diretório ele foi tirado após conversar com um hacker.

A "Coleção #1" é integrante de um pacote, em que estão incluídos outros arquivos intitulados como "Coleção #2", "Coleção #3", "Coleção #4", "Coleção #5", "AP MYR&ZABUGOR #2" e "Antipublic #1". O tamanho total da pasta é de 993 GB, ou seja, mais de dez vezes o tamanho da "Coleção #1".

Não se sabe como a "Coleção #1" foi parar no Mega, o popular site de armazenamento na nuvem onde Hunt fez a descoberta. Uma dos detalhes que o chocou foi que os dados não estavam à venda, mas, sim, disponíveis para quem quisesse ver.

Só que, conforme Holden descobriu, o conjunto maior de emails e senhas é vendido na internet por um hacker a US$ 45. O UOL Tecnologia entrou em contato com ele pelo Telegram e, em menos de cinco minutos, recebeu imagens dos arquivos hospedados também no Mega.

O hacker confirmou o que Hunt já havia revelado: os dados desse pacote foram compilados a partir de vazamentos antigos, ou seja, não são "frescos".

Ainda assim, esse conjunto de informações vazadas é a maior que Hunt já testemunhou. Tanto que ele a classificou como a "brecha das brechas", pois agrega mais de 2.000 bases de dados comprometidas ao longo dos anos.

Em conversa com o UOL Tecnologia, no entanto, o hacker ofereceu outro pacote de e-mails e senhas ainda maior, de 4 Tebabytes. Este seria composto por informações mais atuais, o que não quer dizer que sejam vazamentos ainda não descobertos. Por causa disso, o preço cobrado é maior, de US$ 200.

Segundo Holden, da Hold Security, é comum a prática de hackers saírem à cata de dados vazados na web para compilá-los em grandes arquivos e vendê-los online."Isso foi popularizado anos atrás por hackers russos em diversos fóruns da Dark Web", afirmou Hold ao Kreb on Security, blog do jornalista norte-americano Brian Krebs, especializado em cibersegurança.

Isso não representa um perigo direto à comunidade de usuários, porque os dados são reunidos a partir de diferentes vazamentos, tipicamente dados antigos. Ainda que seu volume puro seja impressionante, os dados não são de grande utilidade para grande maioria de hackers

Ainda assim, a maneira como as informações estão sendo organizadas preocupou Hunt, acostumado a ver vazamentos. "São senhas em texto simples. Se levarmos em conta um vazamento como o do Dropbox, eram 68 milhões de endereços de email, mas as senhas eram criptografadas, tornando-as muito difíceis de usar."

Ou seja: para os dados da "Coleção #1" serem usados, basta o malfeitor rolar a tela e clicar. Sergey Lozhkin, especialista em segurança da Kaspersky Lab, explicou o tamanho do problema:

Essa coleção pode virar uma lista de emails e senhas: tudo o que precisam fazer é criar um software simples para checar se as senhas estão funcionando

"As consequências do acesso à conta podem variar de phishing muito produtivo, pois os criminosos podem enviar emails infectados para contatos da vítima, até ataques projetados para roubar toda a identidade digital ou dinheiro da vítima ou comprometer os dados da rede social".

Como se proteger

Para se proteger da brecha, o usuário pode seguir algumas dicas.

• Verifique se seu email e senha já foram expostos em alguma falha acessando o Have I Been Pwned
• Se teve alguma informação exposta, mude a senha das suas contas. Considere também sempre mudar senhas de tempos em tempos.
• Use senhas fortes para contas mais importantes ou confidenciais (como internet banking ou redes sociais)
• Considere usar um gerenciador de senhas
• Ative a autenticação de dois fatores sempre que possível nos serviços