23°C 16°/ 24°
Notícias

773 milhões de e-mails e passwords divulgadas na Internet, verifique já o seu

65 Comentários

A 22 de setembro de 2016 assistimos à divulgação de 500 milhões de e-mails e passwords pela Yahoo. Na altura, e até então, este foi o maior escândalo de fugas de informação ao pôr em risco este enorme volume de contas.

Agora, mais de 773 milhões de e-mails e passwords estão disponíveis na Internet. O novo caso supera em larga escala o da Yahoo e para além do email, foram também divulgadas 20 milhões de passwords.

Ilustração de 773 milhões de emails e passwords divulgadas na Internet


Verdade seja dita, nas lides da Internet, a cada passo temos um novo escândalo deste género em mãos. Os ataques informáticos às empresas e respetivas bases de dados são frequentes e desta vez o saque foi muito considerável.

 

“Collection #1” é o maior “roubo” de e-mails e passwords da história!

O novo caso já tem nome. Apelidado de “Collection #1”, foi descoberto na plataforma MEGA. Aí o perito em cibersegurança, Troy Hunt, deparou-se com um portefólio de 12 mil ficheiros.

Trata-se de uma quantidade massiva de informação, perfazendo um total de 87GB de dados. Ora, visto que estamos aqui a falar principalmente de ficheiros de texto (.txt), a escala desta fuga de informação é deveras alarmante.

Infelizmente, agora ainda não se sabe como é que toda esta informação foi parar ao MEGA. Entretanto, de acordo com a mesma fonte, esta coleção de credenciais já foi removida da plataforma de alojamento e partilha de ficheiros.

Contudo, alerta ainda que a panóplia de ficheiros da “Collection #1”, continuam a ser partilhados. Sem nomear fontes, afirma que os ficheiros continuam a circular em fóruns e sites dedicados a áreas menos lícitas.

Em suma, temos milhões de contas de email sujeitas ao escrutínio alheio. Note-se que não foi só ID do email (nome da conta) a ser divulgado, mas também milhões de passwords.

Por conseguinte, apurando a escala do novo caso, esta já pode ser considerada a maior ocorrência do seu género. Há aqui um real risco de serem afetadas milhares de milhões de contas de email.

 

Como posso saber se o meu email foi afetado pelo Collection #1?

Caso tema pela segurança da sua conta e queira saber se os seus dados figuram na “Collection #1”, o perito de cibersegurança já nos providenciou com uma ferramenta ad hoc.

Para tal basta aceder ao seu site Have I been Pwned. Aí poderá apurar se os seus valiosos dados constam, ou não, da mais recente vaga de furto de credenciais.

 

O que fazer se o seu email for afetado?

Através desse site poderá saber se o seu e-mail foi um dos afetados pela ação dos piratas. Contudo, este site não lhe dirá se a sua password consta, ou não, do lote de 20 milhões de passwords furtadas.

Assim sendo, caso o seu email acuse positivamente nesta ferramenta, mude imediatamente a sua palavra-passe. Faça-o em todas as suas contas para evitar um possível acesso cruzado.

Em suma, a melhor solução será alterar de imediato todas as suas passwords. Para tal deverá utilizar uma nova combinação de caracteres maiúsculos, minúsculos e de preferência com alguns algarismos.

Não se esqueça que até mesmo o seu Facebook, Twitter, Instagram e demais redes sociais dependem do seu email para salvaguardar os seus dados. Assim sendo, mesmo que não utilize frequentemente o seu serviço de correio eletrónico, não se coloque as suas informações e dados pessoais em risco!

Por fim, faça o que fizer, não utilize uma das passwords listadas abaixo:

TOP 25 – Passwords mais usadas em 2017

Autor: Pplware
Partilhar:
Tags:
ataque Collection #1 emails passwords
Nokia 9 PureView terá direito à plataforma Snapdragon 855 da Qualcomm
Artigo anterior

Nokia 9 PureView terá direito à plataforma Snapdragon 855 da Qualcomm
Análise: smartphone Elephone A5… com câmara tripla?
Próximo artigo

Análise: smartphone Elephone A5… com câmara tripla?
Também pode gostar
PUB

Comentários

65

Responder a Lucas Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Nuno
    Nuno

    Ora bem, o email que usava quando tinha 10 anos está presente na Collection #1 xD felizmente o meu atual está limpo.

    Responder
    1. Avatar de Rui Bacelar
      Rui Bacelar

      Todas aquelas memórias… #trowback

      Responder
  2. Avatar de Bruh
    Bruh

    Por isso é que há um 2 meses criei uma conta na ubisoft e entretanto recebo emais da ubisoft a dizer que tenho ips do dubai da india a entrarem na minha conta…

    Responder
  3. Avatar de Antonio
    Antonio

    Supostamente tenho o meu email do GMAIL PWNED, por acaso tenho o acesso em dois passos, ou seja, recebo sempre um pedido no tlm, quer seja sms ou permissão através de impressão digital.

    Responder
    1. Avatar de Realista
      Realista

      O meu também aconteceu o mesmo…

      Responder
    2. Avatar de Bruh
      Bruh

      O facto de teres o teu email no pwned, não quer dizer que tenha sido a password do teu email que eles descobriram. Provavelmente acederam à base de dados de um site em que te escreveste com esse email…

      Responder
      1. Avatar de Lucas
        Lucas

        isto

        Responder
      2. Avatar de Hugo
        Hugo

        Era isso mesmo que ia escrever.
        Tenho 7 breaches na lista nos últimos 8 anos e nunca mudei a password nem nunca tive problemas.
        Pelo sim pelo não vou mudar agora mesmo, mas a regra numero 1 é NUNCA usarem a password do email num serviço em que se registam com esse email.

        Responder
    3. Avatar de Miguel Costa
      Miguel Costa

      O meu está lá com 2 branches… tive acesso ás 2 listas que lá são referidas, em NENHUMA está a password.
      No Disqus, tem a password que usei para me registar em 2012, já não é a actual.
      Na outra é este Collection#1, a base de dados são mais de 50 milhões de ficheiros. O meu mail está em 2 ficheiros: Disqus e Spambot (2017). Em ambos só há referência ao mail (no caso do disqus está lá a password) e nick registados, mais nada.

      Responder
      1. Avatar de Antonio
        Antonio

        Tal e qual !
        Fui pesquisar e a password tb era referente ao Disqus…
        No entanto, meti apenas o meu email na pesquisa do google e fui apanhar o meu email com uma password, não é a password de acesso ao meu email mas tb ñ me lembro de q acesso é, no entanto atualmente nas aplicações/sites q uso não tenho essa password.

        Responder
      2. Avatar de Vitor
        Vitor

        Onde é que vocês vêem as listas onde estão os e-mail e password? O meu aparece acho que 7x e queria confirmar onde

        Responder
  4. Avatar de bfdbnd
    bfdbnd

    Pwned or Pounded ? Eheh

    Responder
  5. Avatar de Lucas
    Lucas

    Pode não ser o acesso e a pass do e-mail que está comprometida, podem ser contas criadas noutros sites com esse e-mail.

    Responder
  6. Avatar de Slayed
    Slayed

    E assim com este arcaico site chamado “I have been pwned” e juntando esta fabula de roubo de passwords e uns quanto screenshots , se cria uma boa base de dados de e-mails pra vender as empresas de publicidade que os compram para espalharem o seu spam. E vai na volta aqui o pplware também tem algo a lucrar com isto. So tenho pena de não ter sido eu a lembrar-me de fazer uma coisa destas. De louvar!

    Responder
    1. Avatar de Lucas
      Lucas

      É muito mais fácil roubar bases de dados do que esperar que as pessoas vão a um site digitar os seus e-mails.

      Responder
    2. Avatar de Hugo
      Hugo

      Sim, em 2019 ias ficar rico com este negócio não haja dúvida.
      Ainda para mais uma base de dados que tem (à partida) apenas uma coluna: “EMAIL”. Muito útil.

      Responder
      1. Avatar de Slayed
        Slayed

        Hmmm, ta visto que percebes bastante da coisa Hugo, nem me atrevo a contra-argumentar. E ja agora também tens la outra secção pra introduzires as tuas passwords, algo que será também extremamente inútil não tenho duvidas, mas la esta, isto são tudo coisas que eu vou pensando e dizendo com o conhecimento que tenho, que tenho de admitir, é extremamente limitado.

        Responder
      2. Avatar de Spoky
        Spoky

        Hugo, a publicidade serve para que? Newsletters sabes o que é? Emails subscritos? Publicidade e Marketing via email? Spam? Anuncios? Phishing? Tens a certeza que não ias ficar rico? Pensa la, um esquema de Phishing via email de bancos enviados para mais de 200.000 emails, desses 200.000 imagina se 1500 pessoas caiem no esquema e metem as pass e a autenticação do banco…

        Em 2019 certamente não ias ficar rico, não… com as passwords de bancos e se la tiver dinheiro ias é ficar pobre pelos vistos!

        Responder
    3. Avatar de Jorge
      Jorge

      Nao sabes do que falas.

      No artigo.
      “But what many people will want to know is what password was exposed. HIBP never stores passwords next to email addresses […] in short, it poses too big a risk for individuals, too big a risk for me personally and frankly, can’t be done without taking the sorts of shortcuts that nobody should be taking with passwords in the first place! But there is another way and that’s by using Pwned Passwords.”

      Essencialmente, tens um site que apenas podes pesquisar por email que tem acesso a apenas emails comprometidos e um outro em que diz se a tua password existe numa outra base de dados de passwords sem nenhuma relacao com a dos emails e em sitios distintos.

      Eu sigo o Troy há imensos anos. Ele até quando estava a construir o website fez posts de blog a detalhar o que fez e como fez e como implementou tudo. Desde bots no twitter que fazem follow a leaks. A bots que sniffam o pastebin etc para agregar toda esta informacao.

      O site nao é arcaico. Faz exactamente o que é preciso e nada mais. Ele pagava do bolso dele (até recentemente, pois o 1password patrocina-o), e até faz integracao com agencias de autoridade e empresas de grande escala (sem gastos para as empresas), para que o servico atinja o maior numero de utilizadores possiveis e os salvaguarde.

      Responder
    4. Avatar de ervilhoid
      ervilhoid

      Sempre que há 1 artigo a referir o “i have been pwned ” há sempre alguém a dizer isto.. enfim

      Responder
  7. Avatar de Lucas
    Lucas

    Desde o começo deste ano que passei a receber imenso SPAM no mail (10 mails desses por dia). Agora vejo que o meu e-mail consta dessa lista

    Responder
    1. Avatar de Miguel Costa
      Miguel Costa

      Provavelmente inscreveste o mail nalgum concurso ou site que vende os dados para spam.

      Responder
  8. Avatar de jmso
    jmso

    O meu do hotmail também estava, fui ver o registo de atividade e vi lá à 15h atrás na russia (Sincronização sem êxito)

    Responder
    1. Avatar de MACnista
      MACnista

      … NA RUSSIA!?!?!?!?!, oh meu deus, cuidado com os mísseis!!!!!!!!!

      Responder
    2. Avatar de Sérgio Santos
      Sérgio Santos

      A mim houve tentativas no Vietname e EUA, mas não passaram de tentativas… por isso nem devem ter a password.

      Responder
    3. Avatar de L-95N
      L-95N

      Também me aconteceu o mesmo, todos com sincronização sem êxito, com IP’s do Japão, da Suíça, da Argentina e da Coreia, não especificando qual delas, se a do Sul se a do Norte. As tentativas ocorreram entre od dias 30 de Dezembro de 2018 e 1 de Janeiro de 2019.

      Responder
  9. Avatar de Mario Silva
    Mario Silva

    Diz que os meus dois emails foram afectados mas os sites apresentados nunca lá tive conta…LOL!

    Responder
  10. Avatar de Jorge
    Jorge

    Troy Hunt e nao Tim Hunt…
    Sigo o blog dele há vários anos.

    Responder
  11. Avatar de Mike
    Mike

    Protejam-se como puderam e sejam sensatos! Mas pessoalmente acho que o melhor mesmo é fazer as pazes com o facto de que, não existe um método infalível de passear seguro neste beco escuro e duvidoso que é a net. Não são só os sites porno, torrents, pirataria… Todos estão vulneráveis a uma data breach. O ultimo que tenho conhecimento, foi relativamente recente, mas não sei se a Pplware cobriu a noticia, é o ataque phishing à verificação 2 passos da Google e da Yahoo… Portanto, é apenas uma questão de tempo até _______ (Inserir aqui o método de segurança preferido) ser violado! P.S.: Um dos meus endereços principais, e mais antigo (Primórdios do Gmail), que tentei manter o mais seguro possível supostamente foi comprometido pela data breach sofrida pela Adobe em 2015! Outro, daqueles que criamos para descartar, (Isto também supostamente) tem uma lista pwned do tamanho de uma folha A4. Todos eles de sites minimamente confiáveis!

    Responder
  12. Avatar de Samuel
    Samuel

    Eu não tenho nada pwned 🙂

    Responder
  13. Avatar de André Pinto
    André Pinto

    Tenho os meus dois e-mails pessoais afectados, vou alterar as passwords!

    Responder
  14. Avatar de Rui
    Rui

    Aparece la um mail meu com uma pass de ha 5 anos atrás.

    Diz que está pwned mas na realidade n está.

    Para além da autenticação em dois passos estar activa

    Responder
    1. Avatar de Hugo
      Hugo

      Onde vêem essa informação?
      A mim só aparece a lista dos sites expostos, cujo email lá tinha registado.

      Responder
      1. Avatar de Miguel Costa
        Miguel Costa

        Só se procurares nas listas. Em sites de torrents encontras as listagens.
        O Collection#1 que aqui falam e aparece no Pwned tem mais de 50 milhões de ficheiros. Os 5 maiores são do Facebook e Twitter. Depois há outros sites em que pedem o email para registo. É daí que o pwned te diz que o teu mail está lá numa das listas.

        Responder
  15. Avatar de altice meo
    altice meo

    depois o culpado e o rui pinto

    Responder
  16. Avatar de ToFerreira
    ToFerreira

    86GB em .txt… :O

    Responder
    1. Avatar de Miguel Costa
      Miguel Costa

      Não são todos txt. Há lá muitos html e cookies. Para além de bases de dados Access e até está uma em superbase4 que já deixou de ser usado há 18 anos atrás. 😀

      Responder
  17. Avatar de wykzl
    wykzl

    Escrevam uma coisa qualquer (em inglês) e está pwned…
    really ->pwned
    treta -> not pwned
    bullshit -> pwned

    Muito util…

    Responder
    1. Avatar de Nuno Ferreira
      Nuno Ferreira

      deves ter ido ao subsite das passwords e nao dos emails

      https://haveibeenpwned.com em vez de https://haveibeenpwned.com/Passwords

      Responder
    2. Avatar de Nuno Ferreira
      Nuno Ferreira

      E sao emails nao palavras.. e presumo que ele faça um Like não um match exato

      Responder
  18. Avatar de Joao
    Joao

    Pwned on 3 breached sites and found no pastes

    Responder
  19. Avatar de Jorge
    Jorge

    Só vos digo uma coisa, é todos os anos a mesma historia…

    Responder
    1. Avatar de Joao
      Joao

      So muda a capa

      Responder
      1. Avatar de Costa
        Costa

        +1

        Responder
  20. Avatar de ANTÓNIO JOAQUIM N.A.LUCAS
    ANTÓNIO JOAQUIM N.A.LUCAS

    mais uns que querem ganhar mais uns cobres a custa dos papalvos que vão já a correr comprar ou instalar mais qualquer coisita,faz-me lembrar a historia dos assaltantes de casas que tambem instalavam alarmes…

    Responder
  21. Avatar de Fabio Leça
    Fabio Leça

    Tenho 3 emails, e aparecem os 3 na lista, mesmo 1 deles sendo só para uso pessoal.

    Responder
  22. Avatar de JJ_
    JJ_

    E onde esta o link, para acederemos a esses ficheiros TXT!?

    Responder
    1. Avatar de Nuno Ferreira
      Nuno Ferreira

      Se queres ser criminoso procura outro tipo de sites.

      Responder
  23. Avatar de imanonuser
    imanonuser

    Mas o segredo é nunca usar a password do e-mail, paypal, (coisas importantes) em outros sites.
    A senha do meu e-mail é só para o meu e-mail.
    A senha do meu paypal é só para o meu paypal. Igual ao e-mail que só uso para o paypal.

    Sempre todo o cuidado é pouco.

    Responder
  24. Avatar de Spoky
    Spoky

    Esse site https://haveibeenpwned.com/ é uma treta do caraças, então ele diz que um dos meus segundos emails o seguinte:

    (Oh no — pwned! Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)

    Ora, se o meu email foi encontrado num site qualquer, porque é que eles não indicam quais são? Ou qual é? Essa ferramenta é duvidosa, e ainda para mais. Como é que eles tem acesso a todos os “leaks”? Da noite para o dia? E estou a referir-me a leaks “frescos” como é que eles as obtêm?

    Para mim esta ferramenta, tem algo “misterioso”, no meu ponto de vista. Acredito que não passe de apenas um site a tentar ganhar dinheiro a nossa pala de forma indireta (com publicidade) tipo aqueles sites onde dizem que vão por dinheiro no jogo onde introduzes um email e ele fica a fazer “loading” durante bastante tempo ou uma mensagem “falsa” tudo para recolher emails nesses tempos (eu não cai, mas no meu tempo existia por exemplo coins hacks sites falsos cujo o objetivo era fazer email collecting)

    Esse site I have been pwned, para mim não passa de um site sem qualquer tipo de fundamento. Se encontram o nosso email, porque não indicam onde? No meu não indica! Tretas…

    Responder
    1. Avatar de Nuno Ferreira
      Nuno Ferreira

      Aprende a fazer scroll que ele diz no fundo qual foi.. Eu sei do que digo que estou em 15 breachs e estão lá todos listados incluindo alguns fóruns mais pequenos onde realmente tinha conta

      Responder
      1. Avatar de Spoky
        Spoky

        Aprende a fazer scroll? E tu achas que não fiz isso? Não aparece nada. Aprende a ler! Isso é que é preciso. Antes de mandares aprender a fazer scroll, aprende tu a ler e interpretar o texto, não sabes interpretar um texto? Vá eu ajudo

        «Se encontram o nosso email, porque não indicam onde? No meu não indica! »

        No meu não indica, diz-te algo espertalhão? Aprende mas é a interpretar português, e saber o significado de “não indica” era uma mais valia.

        Responder
        1. Avatar de Nuno Ferreira
          Nuno Ferreira

          Não acredito, o site diz sempre onde é. Só acredito se vir. Se te sentires à vontade partilha o e-mail que eu vejo com os meus olhos se quiseres usar o meu numigofe[@]gamil.com (está errado de propósito para os crawlers não indexarem)

          Responder
        2. Avatar de Hugo
          Hugo

          És o único a quem não diz nada? Hum..estranho não?

          Responder
  25. Avatar de sakura
    sakura

    Find “sakura”
    Oh no — pwned!
    Pwned on 9 breached sites (subscribe to search sensitive breaches),,,,,,,,,,,,,,,,, LOL.

    Responder
    1. Avatar de Nuno Ferreira
      Nuno Ferreira

      Portanto lol pk? Existe em 9 BDS emails que contém Sakura no endereço.. lol….. Lol é levar segurança informática na brincadeira.

      Responder
      1. Avatar de sakura
        sakura

        No mínimo verificar o “input” É um email valido?

        Responder
        1. Avatar de Nuno Ferreira
          Nuno Ferreira

          Como eu não tenho estou no PC não consigo fazer inspect mas faz sentido em vez do input ser e-mail ser texto assim por exemplo podes verificar de uma só uma só vez um domínio que sejas admin por exemplo. @dominio.xpto isto para organizacoes é top.

          Responder
  26. Avatar de carlos completo
    carlos completo

    é que nem vou dormir por causa disto…

    Responder
  27. Avatar de falcaobranco
    falcaobranco

    Do meu lado…clean!!!

    Responder
  28. Avatar de Tiago
    Tiago

    No site de verificação numa página verificação o e-mail, na outra verificas a password…. bem pensado..

    Responder
    1. Avatar de Razor
      Razor

      Estava a pensar o mesmo, é bem jogado sim sr.

      Responder
  29. Avatar de paulex
    paulex

    Teoria da conspiração: será que ao pesquisar pelo nosso e-mail não estamos a adicionar o nosso e-mail para futuras bases-de-dados?

    Responder
    1. Avatar de Spoky
      Spoky

      Mas é claro que estas, ou pensas que email collecting não é bom? Ideal para empresas de Marketing e Publicidade, especialmente Spammers e Hackers.

      Responder
      1. Avatar de Hugo
        Hugo

        Estas listas de email serviriam apenas para enviar spam, pois não serve para fazer qualquer tipo de publicidade direccionada.

        Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.