Especialista acredita que vazamento de senhas, na realidade, não vazou nenhuma senha — e não passa de diversas palavras compiladas em um arquivo
Nesta semana um vazamento histórico de 8,4 bilhões de senhas de usuários na internet trouxe o assunto de segurança digital novamente à tona. Combinando as senhas com nomes de usuário e e-mails vazados, hackers podem montar “um dicionário de logins” e conseguir controlar um número imensurável de contas online.
Isso é extremamente preocupante. Mas, para Troy Hunt, fundador do site “Have I Been Pwned”, o vazamento não é motivo de preocupação — e pode não passar de uma farsa.
Em uma análise aprofundada, Hunt afirmou que o usuário que divulgou o arquivo RockYou2021 “estava simplesmente postando listas existentes de várias fontes”, ou seja, apenas mesclando palavras de fontes diversas, como a Wikipédia, a Weakpass (que compila palavras e senhas existentes) e o Projeto Gutenberg, e não senhas utilizadas por pessoas no mundo real.
Para entender: o arquivo vazado — um enorme apanhado feito no bloco de notas no formato .txt — tem cerca de 100 GB. Segundo o site especializado em segurança cibernética Cybernews, todas as senhas incluídas no vazamento têm entre seis e 20 caracteres e espaços em branco removidos.
A publicação Cybernews ainda faz um alerta: se 4,7 bilhões de pessoas estão online, a quantidade de senhas vazadas é quase o dobro — o que pode indicar que todas as palavras-chave existentes na web caíram na rede.
Mas Hunt diz, em seu perfil no Twitter, que “ao contrário da violação de dados RockYou original de 2009, a RockYou2021 não é uma lista de senhas do mundo real comprometidas em violações de dados”, sendo “apenas uma lista de palavras”, sendo que “a maioria nunca foi usada como senha”. “Então, existem 8,4 bilhões de senhas por aí no total, violadas e descobertas e em uma única lista? Não, nem de longe”, afirma.
Portanto, Hunt entende que “não há novos dados aqui e nenhuma nova credencial sendo exposta ou vazada”, mas, sim, uma combinação de várias listas existentes.
O que, para um hacker, pode ser útil somente se ele tiver muito tempo e paciência ao tentar usar palavras do dicionário como possíveis senhas para tentar entrar em uma conta.
Hunt ainda vai mais longe e afirma que “o vazamento não representa nenhuma ameaça às pessoas”.
O ano dos vazamentos
Esse não foi o primeiro grande vazamento de dados entre 2020 e 2021.
Entre janeiro e fevereiro de 2021, por exemplo, os golpes da falsa central telefônica e do falso funcionário aumentaram cerca de 340%, enquanto os ataques de phishing — tipo de truque para enganar pessoas e coletar dados confidenciais — dobraram de um ano para o outro.
Por dia, cerca de 20 mil usuários sofrem algum tipo de ataque cibernético no Brasil — em sua maioria, em operações bancárias. Os dados são da Topaz, empresa do Grupo Stefanini focada em soluções financeiras, enviados com exclusividade ao CNN Brasil Business. Segundo a empresa, mais de 1,6 milhão de ataques são inibidos semanalmente (entre eles estão malwares, phishings, entre outros).
Em abril, cerca de 533 milhões de dados de usuários do Facebook vazaram na internet, segundo Alon Gal, chefe de tecnologia da Hudson Rock, companhia de inteligência digital.
O criminoso, que não seria um hacker de conhecimento “muito avançado”, conseguiu dados de pelo menos 100 países, sendo que 32 milhões de usuários são dos Estados Unidos e outros 11 milhões do Reino Unido. No Brasil foram mais de 8 milhões de vazamentos. À época, o Facebook afirmou que “os dados eram antigos e foram reportados em 2019, fruto de uma vulnerabilidade que foi corrigida em agosto daquele ano”.
Antes disso, em fevereiro, 100 milhões de contas de celular forma expostas na deep web. De acordo com a PSafe, vazaram registros de 102.828.815 brasileiros referentes a números de celular, tempo das ligações, dados pessoais, entre outros dados, foram expostos.
Em janeiro, outro vazamento causou preocupação. Dessa vez, fotos de rosto (ou selfies), scores de crédito, endereços e até salários foram expostos no que, naquele mês, foi considerado o maior vazamento de dados já registrado no Brasil, atingindo 223,74 milhões de brasileiros vivos ou mortos — mais do que a população atual do país.