Há muito foi-se o tempo em que bastava apostar em uma senha segura e visitar somente sites confiáveis para se manter longe dos olhares e das ações de hackers. Falhas como o Heartbleed provam que até mesmo gigantes como Google, Microsoft e Facebook não estão a salvo de falhas de segurança que podem expor os dados confidenciais de seus usuários, permitindo que eles sejam usados com objetivos escusos por alguma pessoa mal-intencionada.
Embora o efeito dessa invasão possa ser sentido facilmente por algumas pessoas, que se veem impossibilitadas de acessar sua caixa de entrada ou se deparam com cobranças não autorizadas no cartão de crédito, nem sempre as evidências são assim tão claras. Devido a técnicas cada vez mais sofisticadas, seu endereço de email pode estar sendo usado por uma botnet sem que você tenha qualquer noção de que isso acontece.
Felizmente, a internet não é povoada somente por pessoas mal-intencionadas e há aqueles que desenvolvem ferramentas destinadas a proteger o usuário comum da ação de hackers. Para provar isso, selecionamos neste artigo alguns sites destinados a avisar quando sua conta de email foi invadida — situação que abre precedentes para que usem sem permissão seu perfil em redes sociais, lojas online e outros serviços.
Have I Been Pwned?
O “Have I Been Pwned?” (expressão normalmente usada em jogos online para determinar quando um jogador “humilha” o adversário) se mostra capaz de determinar se o seu endereço de email se tornou vulnerável de alguma forma. Para isso, ele usa como base os bancos de dados tornados públicos em invasões conhecidas, como aquela ocorrida na Adobe em outubro de 2013.
Basta digitar seu endereço de comunicação e clicar no botão “pwned?” para descobrir se ele permanece seguro. Caso a resposta seja negativa, o serviço esclarece as circunstâncias que tornaram seus dados públicos, inclusive indicando os grupos de hackers responsáveis pela ação em questão.
Talvez o aspecto mais interessante do “Have I Been Pwned?” seja o fato de que ele também ajuda você a se proteger de invasões futuras. Basta registrar seu endereço de email no site para que ele dispare automaticamente um alerta caso um novo banco de dados seja invadido e seus dados se tornem públicos.
Vale notar que, caso o serviço aponte que sua conta foi prejudicada, isso não significa necessariamente que é preciso desistir de sua caixa de entrada e aceitar que ela não está mais sob seu controle. Nessa situação, a melhor solução é mudar sua senha de acesso e verificar se não houve qualquer atividade estranha nos serviços que estão associados ao endereço prejudicado — caso nada suspeito seja detectado, você pode ter dado sorte de nenhuma pessoa mal-intencionada ter usado seus dados sem permissão.
Pwned List
Semelhante ao “Have i Been Pwned”, o “Pwned List” também funciona usando como base um endereço de email fornecido pelo usuário. A diferença fica por conta do fato de o serviço contar com uma área dedicada exclusivamente a apontar falhas relacionadas a uma brecha detectada no Snapchat, que pode ser acessada através deste link.
O site também permite o registro de um contato para que você seja alertado sobre possíveis atividades que comprometam a segurança de sua identidade virtual. No entanto, a opção peca por não oferecer quaisquer detalhes sobre qual foi a brecha de segurança responsável por espalhar dados confidenciais, tampouco determina em qual serviço isso ocorreu — ou seja, se a “Pwned List” emitiu um alerta, é uma boa ideia você correr o quanto antes para rever suas configurações de segurança relacionadas ao email analisado.
Segundo Steve Thomas, cofundador do serviço, o site é alimentado diariamente com dados referentes a aproximadamente 12 brechas de segurança. Cada uma delas contém entre 100 mil e 500 mil endereços de email comprometidos, o que serve como prova de que a internet lida diariamente com severos problemas de segurança.
Should I Change My Password?
Caso você tenha lido as descrições dos serviços anteriores, provavelmente já tem uma boa noção do que o “Should I Change My Password?” (“Devo mudar minha senha?”, em uma tradução livre) oferece. O principal diferencial do serviço é o fato de ele não obrigar a checagem individual de cada endereço de email que você possui, permitindo que até 10 contatos sejam adicionados a uma lista e verificados de forma simultânea.
Os responsáveis pelo site afirmam possuir uma lista com 203 milhões de identidades que já foram prejudicadas de alguma forma, que serve como base para a realização da checagem de segurança. Em média, a página adiciona diariamente ao seu banco de dados 30 mil emails comprometidos, contando com a opção de você receber uma notificação automática caso seu endereço pessoal esteja entre eles.
Como se proteger no futuro?
Embora nada garanta que seu endereço de email vai permanecer eternamente 100% seguro (como bem provou o Heartbleed), é possível tomar algumas atitudes para evitar possíveis brechas de segurança. Entre elas está a configuração de senhas consideradas fortes, que devem variar conforme o serviço utilizado — para saber como fazer isso de forma rápida, confira o artigo “Como criar uma senha fácil e segura [infográfico]“.
Outra maneira de evitar problemas futuros é apostar em sites que utilizam a chamada “autenticação em dois passos”, que traz uma camada de segurança adicional à sua conta em caso de atividades suspeitas. Por fim, é sempre bom ficar atento às notícias publicadas no TecMundo e aos emails enviados pelos administradores de suas páginas favoritas para descobrir quando é uma boa ideia mudar sua senha para impedir que alguma pessoa mal-intencionada tenha acesso às suas informações confidenciais.