Vazamento de 8,4 bilhões de senhas parece assustador, mas não se preocupe

Suposto vazamento de 8,4 bilhões de senhas conhecido como RockYou2021 aparenta não passar de "tempestade em copo d'água"

Emerson Alecrim
• Atualizado há 2 anos e 10 meses
Vazamento de senha (imagem ilustrativa: Imagem por Carlos Alberto Teixeira/Pixabay)
Vazamento de senha (imagem ilustrativa: Imagem por Carlos Alberto Teixeira/Pixabay)

Se você acompanhou o noticiário nos últimos dias, pode ter dado alguma atenção à divulgação de um suposto vazamento de 8,4 bilhões de senhas. Esse tipo de assunto é importante, mas, neste caso, não há motivo para alarde: até o momento, nenhuma evidência de que houve um megavazamento de senhas foi encontrada.

Essa é uma tempestade em copo d’água, então? É o que parece.

RockYou2021: um arquivo de 100 GB

Essa trama começou quando um participante de um fórum para hackers postou um arquivo com cerca de 100 GB de tamanho e nome rockyou2021.txt. Aparentemente, a denominação RockYou2021 é uma referência ao vazamento de 32 milhões de senhas ocorrido em 2009 que ficou conhecido como RockYou.

O usuário que fez a publicação informou que o arquivo é uma compilação de mais de 82 bilhões de senhas. Porém, uma filtragem feita pelo site CyberNews — o veículo que começou essa história — constatou que, na verdade, o arquivo contém 8,4 bilhões de senhas supostamente vazadas.

Trata-se de um número muito menor, mas ainda elevado e que representa quase duas vezes a quantidade de pessoas que acessam a internet no mundo todo (4,7 bilhões de indivíduos, estima-se). É por isso que, em questão de horas, o assunto ganhou o noticiário.

Mas uma análise um pouco mais cuidadosa revela que a tal lista de senhas não é digna de preocupação como aparenta ser, por uma série de razões.

Divulgação do arquivo rockyou2021.txt em fórum (captura de tela: Numerama)

Divulgação do arquivo rockyou2021.txt em fórum (captura de tela: Numerama)

Não há motivo para pânico

Para começar, as senhas incluídas no arquivo aparentemente correspondem a uma compilação de vazamentos anteriores, incluindo o COMB, uma lista com 3,2 bilhões de senhas supostamente vazadas que começou a circular na internet neste ano, detalhe que indica que não houve nenhum vazamento novo.

É claro que 3,2 bilhões de senhas é uma quantidade que preocupa, mas, no RockYou2021, essas combinações não foram associadas a e-mails, contas de usuários ou outras informações. Isoladas, as senhas não passam de conjuntos de caracteres.

Além disso, o próprio autor da postagem alertou que o arquivo removeu espaços e determinados caracteres especiais da lista. Isso, por si só, invalida boa parte das combinações possivelmente verdadeiras.

Tem mais. Troy Hunt, especialista em segurança e criador do Have I Been Pwned, chamou a atenção no Twitter para o fato de a lista consistir, na verdade, em um grande conjunto de palavras. De acordo com ele, a maior parte delas nunca foi usada como senha (ou seja, nunca houve constatação dessa forma de uso para elas).

Hunt destaca ainda que a lista contém “entre outras coisas, ‘todas as palavras da base de dados da Wikipedia’ e palavras da coleção de e-books gratuitos do Projeto Gutenberg”.

Essas listas podem ser utilizadas em ataques que tentam descobrir senhas testando numerosas combinações em sequência (ataques de dicionário), por exemplo. Mas isso não quer dizer que todas elas correspondem a senhas em uso.

Cuidados básicos continuam valendo

A única serventia que esse alarmismo todo pode ter — se é que convém extrair alguma utilidade disso — é lembrar que os cuidados básicos com senhas continuam válidos.

Criar senhas que combinam letras maiúsculas e minúsculas com números e caracteres especiais é um dos cuidados mais importantes, bem como evitar o uso da mesma combinação em mais de um serviço.

Tão importante quanto é habilitar a autenticação em dois fatores (2FA) em todos os serviços que oferecerem essa opção.

Se estiver tudo ok com a maneira como você lida com esse aspecto, não, não é necessário correr para mudar todas as suas senhas por causa desse tal de RockYou2021.

Leia | 9 dicas de segurança para proteger sua conta do Facebook

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.