Uma lista com quase 10 bilhões de senhas que teriam sido vazadas de vários serviços na internet foi colocada à venda no começo do mês. Segundo pesquisadores do site americano Cybernews, este seria o maior pacote de senhas roubadas da história.
O arquivo foi batizado como RockYou2024 e, de acordo com a página especializada em cibersegurança, inclui exatamente 9.948.575.739 senhas em texto simples, isto é, sem criptografia.
O veículo também afirmou que a compilação parece ter senhas coletadas de 4.000 bancos de dados ao longo de duas décadas.
Só que, ainda segundo o Cybernews, a maioria das senhas já tinha sido anunciada na internet em 2021, em outra versão do RockYou, que alegava reunir 8,4 bilhões de credenciais. Ou seja, muitas delas podem já ter sido substituídas.
Além deste fator, especialistas colocam em dúvida o potencial dessa lista pelos seguintes motivos:
os registros, em sua maioria, parecem não ser senhas, de fato, e sim palavras tiradas de sites como Wikipedia;
a RockYou2024 supostamente reúne apenas senhas, sem que elas estejam associadas a e-mails ou nomes de usuários, dificultando invasões a contas;
parte das senhas que realmente foram vazadas pode estar corrompida, isto é, não ser exibida da forma correta, o que faria esses registros serem inutilizados.
Mas isso significa que não há motivos para preocupação? Não é bem assim. Listas de senhas como a RockYou2024 podem ser usadas por criminosos para aplicar os chamados "ataques de força bruta".
"No ataque de força bruta, você tem uma lista de senhas conhecidas, vai a um site e tenta usar toda a lista para logar em uma conta. Tentam-se diferentes combinações na esperança de que a vítima esteja usando uma delas", explicou ao g1 o engenheiro de pesquisa sênior da Tenable, Satnam Narang.
Saiba mais abaixo sobre o RockYou2024, quais os riscos das listas de senhas e como se proteger.
O que é RockYou2024?
RockYou é uma referência à antiga empresa de serviços online que sofreu um vazamento de dados em 2009. Na ocasião, 32 milhões de contas foram expostas após terem suas senhas armazenadas sem criptografia.
Desde então, outras listas de senhas aproveitaram este nome e passaram a circular na internet. A RockYou2024 é a atualização mais recente, divulgada em 4 de julho.
O que tem na RockYou2024?
A lista foi anunciada como um arquivo de texto com bilhões de senhas, sem referência a outros tipos de dados, como e-mails e nomes de usuário, que costumam ser citados para aumentar o interesse por esse tipo de material.
Na RockYou2021, a compilação não incluiu nomes de usuário, mas tinha um problema maior: a maioria das supostas senhas não eram credenciais vazadas, e sim palavras retiradas do Wikipedia e do Projeto Gutenberg, site que digitaliza obras literárias.
A informação foi revelada na época por Troy Hunt, criador do site "Have I Been Pwned", que monitora vazamentos de dados. Sobre a nova versão da RockYou, ele afirmou que não há motivos para se preocupar.
"Essas não são senhas violadas, são apenas sequências de texto coletadas de todos os tipos de fontes diferentes", afirmou Hunt, no X, no início de julho.
Em uma análise de 2021, Hunt também disse que sequer existem 8,4 bilhões de senhas únicas para serem exploradas ao considerar o número aproximado de usuários de internet, de senhas repetidas em vários serviços e de tantos sistemas que não sofreram violações.
E há outro ponto para se atentar: é possível que trechos do arquivo que foram obtidos em vazamentos já tenham sido modificados e nem sejam mais exibidos corretamente.
Segundo o gerente de engenharia da empresa de ciberseguranaça Palo Alto Networks, Wellington Silva, "muitas vezes, as senhas podem vir num formato corrompido, às vezes, por caracteres especiais que são removidos ou senhas que são muito longas".
Parte das senhas pode ser exploradas, mas algumas delas acabam "quebradas", ou seja, sem a devida formatação. Segundo Wellington, isso acontece "porque não foi possível vazar toda a estrutura da senha, às vezes, pelo procedimento usado para extrair essas informações".
Para que servem listas de senhas?
Esse tipo de material serve para os "ataques de dicionário" ou "ataques de força bruta", métodos menos sofisticados em que hackers buscam invadir contas por tentativa e erro, a partir da combinação de um e-mail ou nome de usuário com as senhas presentes na lista.
A técnica não serve para serviços online mais conhecidos, que costumam limitar o login depois de um determinado número de tentativas de acesso erradas. Mas pode ser útil para sites menores, em que não há tanta segurança.
"Força bruta significa que está se tentando tudo, está se usando tudo ao alcance para tentar arrombar a porta. Então, você continua tentando, tentando, até que algo funcione", afirmou Narang, da Tenable.
Depois de descobrir o login e senha de um serviço menos conhecido, cibercriminosos podem testar a combinação em plataformas maiores, como redes sociais e e-mails, na esperança de que o titular usou a senha em mais de um lugar.
"Tentarão usar esses dados em outro site. Isso é mais fácil do que tentar o ataque de força bruta, onde se tenta todas as combinações de senhas", disse Narang.
Como se proteger?
Não há um meio de evitar com 100% de certeza que suas informações sejam expostas indevidamente, avaliou o diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, Fabio Assolini.
"O vazamento de dados é algo impossível de evitar", disse. "Hoje, o usuário deve entender que já não é questão de se os dados vão vazar, mas quando. É inevitável. A partir disso, você precisa adotar hábitos para diminuir o prejuízo desse vazamento".
Para aumentar sua segurança na internet, especialistas ouvidos pelo g1 sugerem as medidas abaixo.
Use senhas diferentes, sem repeti-las em vários serviços;
Para lembrar de todas, adote um gerenciador de senhas – alguns deles informam caso elas apareçam em vazamentos de dados (saiba mais sobre eles);
Ative o gerenciamento em duas etapas, que exige um segundo fator de autenticação além da senha para acessar suas contas (veja como habilitar nos principais aplicativos);
Monitore seus dados por meio de sites como o Have I Been Pwned, que informa se eles apareceram em um vazamento;
Informe dados fictícios nos casos em que eles não são necessários – um site de jogos online nem sempre precisa do seu endereço, por exemplo.
G1