Uma enorme coleção de 1,3 mil milhões de palavras-passe, juntamente com quase dois mil milhões de endereços de e-mail, foi exposta online.
O Have I Been Pwned (HIBP), um serviço online que notifica as pessoas se elas foram expostas em uma violação de dados, processou os dados compilados de várias fontes onde os cibercriminosos publicaram credenciais roubadas.
O CEO do HIBP, Troy Hunt, que admitiu que sua senha estava na lista, disse: ‘Este corpus é quase três vezes o tamanho da maior violação anterior que (já) carregamos.’
O conjunto de dados inclui 1.957.476.021 endereços de e-mail exclusivos e 1,3 bilhão de senhas exclusivas, 625 milhões das quais nunca haviam sido vistas antes pelo HIBP.
Com mais de 5,5 mil milhões de pessoas em todo o mundo a utilizar a Internet, os investigadores alertaram que um número impressionante de indivíduos provavelmente teve pelo menos algumas das suas contas comprometidas.
Esses registros combinavam violações anteriores com listas de preenchimento de credenciais, um tipo de dados usado por invasores para tentar senhas roubadas em várias contas.
O HIBP verificou o conjunto de dados verificando as credenciais reais dos usuários. Muitas senhas eram antigas ou não utilizadas, mas outras ainda protegiam ativamente as contas, ilustrando o risco no mundo real.
Hunt ofereceu o HIBP para ajudar os usuários a determinar se suas credenciais foram comprometidas, permitindo-lhes verificar endereços de e-mail e senhas para obter resultados instantâneos.
O conjunto de dados inclui 1.957.476.021 endereços de e-mail exclusivos e 1,3 bilhão de senhas exclusivas
“Odeio manchetes hiperbólicas sobre violações de dados, mas para que a manchete “2 bilhões de endereços de e-mail” seja hiperbólica, ela precisaria ser exagerada ou exagerada – e não é”, disse Hunt.
‘Ah – e 1,3 bilhão de senhas únicas, 625 milhões das quais nunca tínhamos visto antes. É o corpus de dados mais extenso que já processamos, por uma margem.
Os especialistas em segurança cibernética estão pedindo uma ação imediata, dizendo aos indivíduos para usarem um gerenciador de senhas seguro e criarem senhas fortes e exclusivas para cada conta.
A autenticação de dois fatores deve ser habilitada em todas as contas, com prioridade para e-mail e logins administrativos.
As organizações são aconselhadas a executar verificações de credenciais para identificar senhas reutilizadas ou expostas entre os usuários.
A detecção de senha violada deve ser implementada durante logins e alterações de senha. Os privilégios de acesso devem ser auditados, as contas de serviço restritas e as credenciais desatualizadas removidas.
Estas medidas são fundamentais para reduzir o risco de apropriação de contas. Seguir essas etapas ajuda a proteger contas pessoais e corporativas contra ataques cibernéticos.
Para os indivíduos, a principal conclusão da violação de dados é clara: as senhas por si só não são mais suficientes.
Com mais de 5,5 mil milhões de pessoas em todo o mundo a utilizar a Internet, os investigadores alertaram que um número impressionante de indivíduos provavelmente teve pelo menos algumas das suas contas comprometidas.
Os usuários devem mudar para gerenciadores de senhas, gerar senhas fortes e exclusivas para cada conta e habilitar a autenticação multifator (MFA) sempre que possível.
O serviço Pwned Passwords do HIBP permite que qualquer pessoa verifique se uma senha foi exposta anteriormente sem revelar a quais endereços de e-mail ela estava vinculada, preservando a privacidade e melhorando a segurança.
As organizações enfrentam desafios semelhantes, mas numa escala maior. Os ataques de preenchimento de credenciais são particularmente perigosos porque uma única senha vazada pode dar aos invasores acesso a sistemas corporativos, contas de e-mail e dados confidenciais.
As empresas são aconselhadas a adotar modelos de acesso de confiança zero, aplicar políticas de privilégio mínimo, implementar MFA e monitorar continuamente as credenciais expostas. Os planos de resposta a violações devem estar ativos e os sistemas automatizados devem detectar e impedir tentativas de preenchimento de credenciais.
Do ponto de vista técnico, o processamento deste enorme corpus apresentou desafios significativos.
O HIBP teve que otimizar sua infraestrutura SQL do Azure para gerenciar dois bilhões de registros juntamente com os 15 bilhões existentes, mantendo o serviço ativo disponível para milhões de usuários diários.
Os dados foram criptografados e inseridos em lotes, com diversas rodadas de verificação e testes para garantir desempenho e precisão. As notificações por e-mail para os assinantes afetados foram cuidadosamente escalonadas para evitar limitações e manter a capacidade de entrega.
Em última análise, este enorme conjunto de dados destaca os riscos contínuos representados por credenciais reutilizadas e comprometidas.
