Quase 773 milhões de emails foram pirateados e os seus dados estão disponíveis na internet. O novo ataque de pirataria está a ser apresentado como o maior roubo de emails e passwords da história: no total, mais de 12 mil ficheiros e de 87 gigabytes de informação foram comprometidos.

Concretamente, foram comprometidos 772.904.991 endereços de correio eletrónico e 21.222.975 de palavras-passe no ataque que o informático Troy Hunt apelidou de ‘Coleção #1’.

Descoberta em dezembro num fórum de hackers por este informático que criou sites e ferramentas para zelar pela segurança online, esta é a maior compilação de dados pessoais de sempre, que resulta maioritariamente da agregação de dados provenientes de grandes ataques públicos. O roubo de 360 milhões de contas da plataforma Myspace (2008) ou as 164 milhões de contas de LinkedIn pirateadas (2016) são dois desses ataques.

Troy Hunt, contudo, refere que cerca de 140 milhões de emails não tinham sido anteriormente identificados por ele.

Apesar da dimensão do ataque, os dados não parecem incluir informações mais sensíveis como dados de cartões de crédito ou números de Segurança Social, como noticia a revista norte-americana “Wired”.

“Esta coleção massiva de dados foi-se construindo a partir de sucessivas violações de dados ao longo de vários anos, o que significa que muitos dos detalhes das contas podem estar desatualizados”, explica em comunicado Sergey Lozhkin, especialista em segurança da Kaspersky Lab. “Contudo, não é segredo que, apesar de estarem conscientes dos perigos que existem, as pessoas continuam a usar as mesmas palavras-passe e a reutilizá-las em diferentes websites.”

O mesmo responsável explica ainda que a coleção “pode ser facilmente simplificada numa única lista de e-mails e palavras-passe: e, assim, tudo o que os hackers têm de fazer é utilizar um programa de software relativamente simples para verificar se as palavras-passe estão, de facto, a funcionar”, acrescenta. “As consequências que advêm do acesso às contas dos utilizadores variam desde phishing, à possibilidade dos hackers enviarem automaticamente e-mails maliciosos para a lista de contactos das vítimas, com o objetivo de roubarem a identidade digital ou dinheiro às vítimas ou de comprometerem os seus dados nas redes sociais.”

Como saber se a sua conta foi pirateada

Especialista em segurança e proteção de dados, Troy Hunt gere o site de notificação de ataques e falhas de segurança ‘Have I Been Pwned’, que permite aos utilizadores saberem se determinado email ou password já foram comprometidos.

Para saber se o seu email ou palavra-passe foram corrompidos, basta clicar aqui para entrar no site ‘Have I Been Pwned’, escrever o seu email no motor de busca e, imediatamente, este dir-lhe-á se a sua conta foi ou não pirateada. Aqui pode ver igualmente quais os sites que já sofreram ataques informáticos, numa lista onde estão incluídos o site da Forbes, o BitTorrent, o site do festival de música Coachella, a rede social Snapchat, o serviço de armazenamento na nuvem Dropbox e o site de restaurantes Zoomato, entre outros.

Se, ao verificar que uma das suas contas foi comprometida, quer reforçar a segurança deve “alterar as palavras-passe das contas mais importantes - como o netbanco, pagamentos online ou redes sociais - preferencialmente através de um password manager”, sublinha Sergey Lozhkin.

Um ‘gestor de palavras-passe é um programa informático usado para armazenar uma grande quantidade de nomes de utilizador e palavras-passe. Ao ser criptografado com uma única palavra-passe, permite ao utilizador memorizar apenas uma senha principal para ter acesso às restantes, o que o incentiva a escolher uma senha principal mais complexa.

Os utilizadores devem ainda, segundo o especialista da Kaspersky Lab, “implementar a autenticação em dois passos, sempre que for possível”, para garantir que o utilizador da conta é a única pessoa que lhe pode aceder, mesmo num caso em que alguém conheça a sua palavra-passe. Isto obriga a que quem tenta aceder a uma conta precise de inserir, além do nome de utilizador e da palavra-passe, informação adicional para confirmar que é mesmo o utilizador da conta que está a aceder a esta.