Quase 773 milhões de endereços de e-mail e mais de 21,2 milhões de senhas (em texto simples) usadas para acessar sites de terceiros foram publicadas de forma massiva no que foi chamado de “Collection #1”.
A notícia surgiu através do pesquisador de segurança Troy Hunt, quem administra o popular site Have I Been Pwned (HIBP) que permite que os usuários possam consultar senhas e e-mails registrados em vazamentos de dados conhecidos.
Os dados foram publicados pela primeira vez no conhecido serviço de armazenamento em nuvem da MEGA e, posteriormente, em um popular fórum de hackers, disse Hunt. A coleção completa é composta por mais de 12.000 arquivos que, no total, pesam mais de 87 GB.
"Collection #1 é um conjunto de endereços de e-mail e senhas que completam um total de 2.692.818.238 linhas. "Foi criado a partir de diferentes brechas de dados individuais provenientes de milhares de fontes diferentes", publicou Hunt.
Também como parte da depuração dos dados, 1.161.253.228 combinações entre e-mails e senhas foram "destiladas", deixando um total de 772.904.994 de e-mails, juntamente com 21.222.975 senhas disponíveis em texto simples. Além disso, isso não inclui senhas na forma de hash.
É importante mencionar que qualquer pessoa que tenha acesso ao cache pode facilmente testar senhas em texto simples em contas. Aproximadamente 140 milhões de endereços de e-mail e cerca de 10,6 milhões de senhas não faziam parte de brechas anteriores.
New breach: The "Collection #1" credential stuffing list began broadly circulating last week and contains 772,904,991 unique email addresses with plain text passwords (now in Pwned Passwords). 82% of addresses were already in @haveibeenpwned. Read more: https://t.co/BAa3rbgZo4
— Have I Been Pwned (@haveibeenpwned) January 16, 2019
Além disso, Hunt disse que reconheceu muitas das atuais brechas de dados na lista de diretórios, mas observou que é possível que algumas delas se refiram a serviços que não foram envolvidos em uma brecha.
Por outro lado, ele acrescentou que suas chaves de acesso antigas também apareciam no cache e que essa combinação antiga de e-mail/senha era muito precisa.
"Sendo breve, se você faz parte desta brecha, uma ou mais senhas que você usou anteriormente estão vagando à vista de outros", destacou.
Agora que o Hunt carregou dados da Collection #1 no HIBP, você pode ver com seus próprios olhos se algum dos seus e-mails ou conta associadas a seus endereços fazem parte de qualquer brecha conhecida (endereços de e-mail e senhas podem ser consultadas aqui e aqui). Nesse caso, considere alterar suas senhas e garantir que você não as reutilize em lugar algum.
Além disso, você também pode fazer uso da autenticação de dois fatores (2FA) sempre que possível, já que é uma medida simples para se defender contra tentativas de acessar uma de nossas contas.