Vazamento expõe mais de 1,1 bilhão de e-mails e senhas na internet

As informações estavam disponíveis em 12 mil arquivos salvos em uma pasta conhecida como Collection #1

Victor Hugo Silva
• Atualizado há 2 anos e 11 meses
Batizada de Collection #1, a pasta no Mega reunia informações de 772 milhões de e-mails

Uma pasta armazenada no Mega, serviço que sucedeu o Megaupload, serviu para reunir um dos mais extensos vazamentos da internet. Batizada de Collection #1, ela reunia mais de 1,1 bilhão de combinações de e-mails e senhas.

O material bruto contava com mais de 2,6 bilhões de registros (ou 2.692.818.238). Porém, uma limpeza dos dados permitiu encontrar os 772 milhões de e-mails únicos que formavam exatamente 1.160.253.228 combinações diferentes de e-mails e senhas.

O conteúdo, já removido da plataforma, era divulgado como uma “coleção de mais de 2 mil bancos de dados sem hash”, uma técnica que “disfarça” as senhas verdadeiras. Para facilitar o trabalho de quem a usava, a Collection #1 distribuía as informações por tópicos como e-mail, games e compras.

A informação é do pesquisador de segurança Troy Hunt, que descreveu o vazamento em seu blog, e apontou a existência de 12 mil arquivos que totalizam 87 GB. Segundo ele, as informações presentes na pasta vazaram em momentos distintos, entre 2008 e 2018.

O especialista afirma que percebeu a dimensão do problema a partir da quantidade de pessoas que entraram em contato com ele e de uma publicação em um fórum conhecido. “Em termos de risco que isso representa, mais pessoas com os dados obviamente aumentam a probabilidade de que eles sejam usados para fins maliciosos”, afirma Hunt.

Hunt é o criador do Have I Been Pwned, um serviço que permite pesquisar se um e-mail está em listas de vazamentos. Ele afirma que este foi o maior vazamento já registrado no site e destaca que 140 milhões de e-mails nunca haviam aparecido por lá antes.

A Collection #1 reunia 21,2 milhões de senhas únicas, um número relativamente baixo para a quantidade de e-mails armazenados. Com os e-mails, elas poderiam ser usadas para realizar uma ação conhecida como “credential stuffing”.

“Em outras palavras, as pessoas pegam listas como essas que contêm nossos e-mails e senhas, depois tentam ver onde mais elas funcionam”, explica Hunt. “O sucesso dessa abordagem é baseado no fato de que as pessoas reutilizam as mesmas senhas em vários serviços”.

Como saber se um e-mail estava na Collection #1?

A maneira mais fácil de verificar se o seu e-mail estava em um dos bancos de dados da Collection #1 é fazer uma busca no Have I Been Pwned. O site cadastrou os milhões de e-mails presentes no diretório e pode indicar se você foi uma das pessoas afetadas.

O serviço também oferece o Pwned Passwords, que permite fazer pesquisas pelas senhas que você usa. Assim, é possível saber quantas vezes elas já apareceram em vazamentos conhecidos e ter uma ideia sobre a segurança que elas oferecem.

Caso você tenha encontrado alguma informação atual no site, a decisão mais cautelosa é alterar suas senhas no serviço indicado. Para evitar problemas no futuro com táticas como o “credential stuffing”, a dica é evitar utilizar a mesma senha em mais de uma plataforma.

Leia | Como saber se seus dados de e-mail ou senha foram vazados na internet

Relacionados

Escrito por

Victor Hugo Silva

Victor Hugo Silva

Ex-autor

Victor Hugo Silva é formado em jornalismo, mas começou sua carreira em tecnologia como desenvolvedor front-end, fazendo programação de sites institucionais. Neste escopo, adquiriu conhecimento em HTML, CSS, PHP e MySQL. Como repórter, tem passagem pelo iG e pelo G1, o portal de notícias da Globo. No Tecnoblog, foi autor, escrevendo sobre eletrônicos, redes sociais e negócios, entre 2018 e 2021.