Nunca é uma boa notícia receber um alerta do “Já fui invadido?” (Have I Pwned? – HIBP), entretanto, é melhor estar ciente disso do que não suspeitar de nada. Fundada por Troy Hunt após a embaraçosa violação da Abobe em 2013, a HIBP é uma lista que contém uma base de contas de e-mail violadas e roubadas, que permite ao usuário verificar se a sua já foi divulgada entre cibercriminosos.
Essa lista é gigantesca e, recentemente, um pesquisador chamado Benkow, descobriu por meio de um servidor baseado na Holanda, que 711 milhões de novos endereços foram adicionados à essa base. Esses e-mails estavam dentro de um arquivo de texto utilizado para alimentar o spambot Onliner.
O HIBP me informou que estou nessa lista com um endereço de e-mail antigo, registrado em um domínio que usei há anos. Essa é a terceira vez que o site o detectou dentro de um cache de violação em um período de quatro anos. Diante dessa revelação, eu ou qualquer outra pessoa que receba o mesmo alerta HIBP, deveria estar preocupado?
O cache tem um tamanho monstruoso — apenas para um senso de escala, isso equivale à um endereço para cada homem, mulher e criança em toda Europa. É verdade que o transporte de 711 milhões de e-mails é o maior já relatado pelo site, mas alguns deles já foram expostos em violações anteriores, no meu caso, na lista da Adobe, 152 milhões, e na do Dropbox, 68 milhões em 2012. Vindos de diferentes fontes, os números não são cumulativos.
A HIBP também descreve meu endereço de e-mail como “invadido”, embora, estritamente falando, são os sites que permitiram a violação que merecem ser punidos. Minha única falha foi confiar o endereço às empresas que não conseguiram protegê-lo.Grande parte do cache novo parece conter endereços de e-mail, o que significa que qualquer pessoa cujo endereço apareça na lista será alvo de spam, incluindo, no caso do Onliner, o malware bancário da Ursnif. Como meu endereço de e-mail já apareceu em violações anteriores, sem dúvida, não estou pior do que antes.
Uma preocupação maior, no entanto, pode ser o grupo cujas senhas estão reveladas, incluindo as que aparentemente foram extraídas de hashes SHA-1, que faziam parte da violação do LinkedIn de 2012, cuja escala preocupante não foi divulgada até 2016. Outros arquivos continham milhares de credenciais de servidor de e-mail, incluindo servidor SMTP e configuração de porta. Milhares de contas SMTP válidas dão ao spammer uma boa variedade de servidores de correio para enviar suas mensagens.
Por outro lado, o pesquisador Benkow também estima um total de 80 milhões de credenciais de diferentes tipos. Agora, ele está tentando fazer com que os dados do cache sejam removidos do site, que ainda está disponível e acessível para quem sabe onde procurar. Ironicamente, quem estava cultivando esses dados não dedicou muito esforço para mantê-los seguros e reservados.
Qualquer pessoa que tenha receio de ser afetada pode verificar o HIBP manualmente, usando seus endereços de e-mail ou nome da conta. E, qualquer pessoa preocupada com suas credenciais do servidor de e-mail deve mudar a senha, antes mesmo de se encontrar nessa lista. Às vezes, é melhor saber o que realmente está acontecendo, mesmo que esse conhecimento seja deprimente ou preocupante. No caso deste cache, os endereços, credenciais e dados pessoais há muito se tornaram uma mercadoria criminosa. Isso não pode ser interrompido ou revertido, apenas contido.
Mas, por outro lado, os endereços de e-mail e as credenciais podem ser alterados. Mais do que pode ser dito aos usuários cujos nomes, endereços, datas de nascimento e números de segurança social foram violados. Este novo cache de e-mails violados parece ruim — mas poderia ser ainda muito pior.