Uma enorme coleção de 1,3 bilhão de senhas, juntamente com quase dois bilhões de endereços de e-mail, foi exposta online.
O Have I Been Pwned (HIBP), um serviço online que notifica as pessoas quando elas foram expostas em uma violação de dados, processa dados compilados de diversas fontes onde os cibercriminosos publicaram credenciais roubadas.
O CEO do HIBP, Troy Hunt, que reconheceu que suas senhas estavam na lista, disse: “Este tesouro é quase três vezes o tamanho da maior violação anterior que carregamos”.
O conjunto de dados contém 1.957.476.021 endereços de e-mail exclusivos e 1,3 bilhão de senhas exclusivas, das quais 625 milhões nunca foram vistas antes pelo HIBP.
Com mais de 5,5 mil milhões de pessoas a utilizar a Internet em todo o mundo, os investigadores alertaram que todos deveriam alterar as suas palavras-passe por precaução.
Os registros vinculavam violações anteriores a listas de preenchimento de credenciais, um tipo de dados usado por invasores para tentar senhas roubadas em várias contas.
O HIBP verificou o conjunto de dados verificando as credenciais de usuários reais. Muitas senhas estavam desatualizadas ou não eram utilizadas, mas outras ainda protegiam ativamente as contas, refletindo o risco do mundo real.
Hunt ofereceu o HIBP para ajudar os usuários a determinar se suas credenciais foram comprometidas, permitindo-lhes verificar endereços de e-mail e senhas para obter resultados imediatos.
O conjunto de dados contém 1.957.476.021 endereços de e-mail exclusivos e 1,3 bilhão de senhas exclusivas
PAI Serviço de senha Pwned Permite que qualquer pessoa verifique se uma senha foi exposta anteriormente sem revelar a qual endereço de e-mail ela estava associada, mantendo a privacidade e melhorando a segurança.
Hunt disse: ‘Odeio manchetes hiperbólicas sobre violações de dados, mas para que a manchete ‘2 bilhões de endereços de e-mail’ pareça hiperbólica, ela precisaria ser exagerada ou exagerada – e não é.’
‘Esta é a coleção de dados mais abrangente que já processamos, por uma margem.
Os especialistas em segurança cibernética estão pedindo uma ação imediata e dizendo aos indivíduos para usarem um gerenciador de senhas seguro e criarem senhas fortes e exclusivas para cada conta.
A autenticação de dois fatores deve ser habilitada em todas as contas, priorizando e-mail e logins administrativos.
As organizações são aconselhadas a executar verificações de credenciais para identificar senhas reutilizadas ou expostas entre os usuários.
A detecção de senha quebrada deve ser implementada durante alterações de login e senha. Os privilégios de acesso devem ser auditados, as contas de serviço restritas e as credenciais desatualizadas removidas.
Para os indivíduos, a principal solução para uma violação de dados é clara: as senhas por si só não são mais suficientes.
Com mais de 5,5 mil milhões de pessoas em todo o mundo a utilizar a Internet, os investigadores alertam que é provável que um grande número de indivíduos tenha pelo menos algumas das suas contas comprometidas.
As organizações enfrentam desafios semelhantes, mas numa escala maior.
Os ataques de preenchimento de credenciais são particularmente perigosos porque uma senha vazada pode dar aos invasores acesso a sistemas corporativos, contas de e-mail e dados confidenciais.
As empresas são aconselhadas a adotar um modelo de acesso de confiança zero, implementar políticas de privilégios mínimos, implementar MFA e monitorar proativamente as credenciais expostas. Os planos de resposta a violações devem ser proativos e os sistemas automatizados devem detectar e prevenir tentativas de preenchimento de credenciais.
Do ponto de vista técnico, o processamento deste vasto corpus apresentou desafios significativos.
O HIBP teve que adaptar sua infraestrutura SQL do Azure para gerenciar dois bilhões de registros juntamente com os 15 bilhões existentes, mantendo ao mesmo tempo o serviço ativo disponível para milhões de usuários diários.
Os dados foram coletados e inseridos em lotes, com diversas rodadas de validação e testes para garantir desempenho e precisão. As notificações por e-mail para os clientes afetados foram cuidadosamente sequenciadas para evitar limitações e manter a capacidade de entrega.
Em última análise, este enorme conjunto de dados destaca os riscos contínuos representados por credenciais reutilizadas e comprometidas.
