Collections #2-5: mais um enorme arquivo de passwords a circular online

Se a “Collection #1” era já gigante, como classificar as novas colectâneas?

Ao longo do tempo, endereços de e-mail e passwords de utilizadores de alguns serviços online foram furtados por hackers, e estão agora a ressurgir online na forma de grandes colectâneas de dados. A primeira, baptizada pelo especialista em cibersegurança Troy Hunt como “Collection #1” no início de Janeiro, “pesava” 87 GB e reunia mais de 1,6 mil milhões de combinações diferentes entre endereços de e-mail e passwords.

Mas se a “Collection #1” era já gigante, como classificar as “Collections #2-5”? São quatro novos conjuntos de dados que estão a ser distribuídas através de fóruns de hackers e torrents, e que contém um total de 2,2 mil milhões de combinações de login, totalizando 845 GB, segundo conta a Wired. De acordo com uma análise feita no Hasso Plattner Institute em Potsdam, Alemanha, as novas colectâneas são quase três vezes a “Collection #1” depois de removidos os dados duplicados. Os investigadores deste instituto alemão determinaram que 611 milhões de credenciais nas “Collections #2-5” não apareciam na primeira colectânea.

Outros especialistas em cibersegurança têm-se mostrado atentos à divulgação destas agora colectâneas de endereços de e-mail e passwords. “É a maior colecção de ‘brechas’ que alguma vez vimos”, referiu à Wired Chris Rouland, fundador de uma empresa de segurança de IoT, que descarregou os ficheiros das “Collections #1-5” para os analisar com os seus próprios olhos.

Os investigadores acreditam que resultam de ataques passados às plataformas como a Yahoo, o LinkedIn e a Dropbox; contudo, podem existir outros dados nos gigantes arquivos dados que estão a ser leakadas, uma vez que resultaram de furtos automatizados a bases de dados de websites pequenos e semi-escondidos.

Porquê estas colectâneas agora? Rouland especula que os dados podem ter sido reunidos a partir de ‘brechas’ mais antigas e postos à venda, mas que depois foram roubados ou comprados por um hacker, que, talvez para desvalorizar o produto de um inimigo, os disponibilizou de maneira mais ampla.

À data de escrita deste artigo, a ferramenta Have I Been Pwned, desenvolvida por Troy Hunt para que qualquer pessoa possa verificar se os seus dados foram comprometidos, ainda não foi actualizada para incluir as “Collections #2-5”.