Em um comunicado publicado em janeiro, a plataforma Dailymotion disse ter sido vítima de um ataque de credential stuffings em larga escala que tinha como objetivo roubar dados dos usuários. No momento da emissão do comunicado, a empresa destacou que a tentativa de ataque ainda persistia, mas também comentou que foi controlada satisfatoriamente.
“Credential stuffing” é um tipo de ataque no qual os cibercriminosos testam automaticamente combinações de nomes de usuário e senhas extraídos de algum vazamento para obter acesso a uma conta em outros serviços.
Os usuários afetados por esse ataque já foram contatados pela empresa, o que, por sua vez, forneceu suporte personalizado. Conforme o site ZDNet, que teve acesso aos emails enviados aos clientes afetados, o ataque em alguns casos parece ter sido bem-sucedido e os cibercriminosos obtiveram acesso a um certo número de contas.
No mesmo email, a Dailymotion envia um link para que os usuários possam alterar suas senhas e recuperar o controle das contas.
De acordo com um relatório publicado em 2018 pela Shape Security, entre 80% e 90% das tentativas de acesso a serviços de retail online estão relacionadas com ataques de "credential stuffing".
Esse ataque sofrido pela plataforma de vídeo mais usada depois do YouTube e do Vimeo, com 100 milhões de visitas por mês, ocorreu coincidentemente no mesmo mês em que se tornou público o vazamento de 773 milhões de endereços de email e 21 milhões de senhas. Felizmente para os usuários, as informações desta extensa lista chamada Collection #1 foram publicadas no site Have I Been Pwned, onde as pessoas podem verificar se o seu endereço de email e sua senha fazem parte desta ou de outras brechas nas quais foram vazados nomes de usuário e senhas.
Para evitar ser vítima desse tipo de incidente de segurança, que afeta os serviços que usamos ou nos quais já criamos uma conta, é recomendável usar a autenticação de dois fatores caso a plataforma ofereça essa opção e lembre-se de que não é recomendável reutilizar senhas.