Depois de meados de janeiro, tornou-se público que cerca de 773 milhões de endereços de email e mais de 20 milhões de senhas foram vazadas como parte de um pacote chamado Collection #1 através do MEGA e de vários fóruns. Além disso, no final da semana passada, foram vazadas mais quatro pastas que fazem parte da mesma coleção de nomes de usuários, endereços e senhas (entre outros), com um total de 993.36GB.
Estas últimas quatro pastas que foram vazadas são chamadas Collection #2, Collection #3, Collection #4, Collection #5, segundo informações de Bryan Krebs. Na imagem a seguir, extraída de um dos fóruns onde a lista completa foi oferecida, podemos ver como cada uma foi nomeada e seu respectivo tamanho.
Embora essa coleção de credenciais esteja composta de dados que foram vazados em brechas anteriores, acredita-se que algumas contas fazem parte de brechas recentes, o que é um risco para os usuários que tiveram suas credenciais vazadas nesses casos.
De acordo com uma pesquisa realizada pelo Instituto Hasso Plattner, localizado em Potsdam, na Alemanha, o pacote completo de todas as pastas (de #1 a #5) totaliza 2,2 bilhões de credenciais. De acordo com o que revelou o pesquisador de segurança, Chris Rouland, a revista norte-americana Wired, "esta é a maior coleção de brechas de segurança já vista".
Por outro lado, é importante mencionar que o Instituto Hasso Plattner oferece um serviço semelhante a página Have I Been Pwned, no qual os usuários podem confirmar se seus dados fazem parte desse grande vazamento. Este serviço, chamado Identity Leak Checker, conta com todos os nomes de usuários, emails e senhas que fazem parte das cinco pastas, bem como credenciais de outros vazamentos.
Como pode ser visto na imagem abaixo, além dos nomes de usuário e senha, a ferramenta também mostra se outros dados sensíveis foram expostos em alguma brecha de segurança, como detalhes da conta bancária, data de nascimento, número de telefone, entre outros.
Esta compilação tem circulado em sites clandestinos, onde através do torrents é oferecida a possibilidade de obter esta longa lista de credenciais. Segundo explicou Rouland à Wired, no seu caso, de acordo com o arquivo que obteve para baixar a lista, cerca de 130 dispositivos já possuíam a lista e estavam funcionando como "seed" para que outros pudessem ter acesso à coleção.
Um cibercriminoso com essa lista em seu poder pode realizar um ataque de credential stuffing, como aconteceu recentemente com a plataforma Dailymotion. Por isso, os usuários devem verificar se a senha que usam foi vazada em alguma brecha de segurança. Para isso, além de verificar através das páginas Have I Been Pwned e Identity Leak Checker, também é possível utilizar o site HackNotice.
O próximo passo é atualizar suas senhas e escolher chaves mais fortes e seguras para cada serviço utilizado, deixando de reutilizar a mesma senha em mais de um serviço. Por fim, recomendamos que a autenticação de dois fatores seja ativada em todos os serviços que oferecem essa possibilidade. Ao fazer isso, você estará adicionando mais uma camada de segurança às suas contas.