Have I Been Pwned? adiciona 225 milhões de senhas roubadas ao conjunto de dados; uma delas é a sua?

Mais 225 milhões de senhas foram adicionadas ao conjunto de 613 milhões da Have I Been Pwned? (HIBP), o serviço gratuito de rastreamento de credenciais roubadas e/ou vazadas coletadas de violações de dados passados. Segundo a National Crime Agency (NCA) do Reino Unido e a National Cyber Crime Unit (NCCU), o material estava escondido em um servidor de nuvem invadido.

O HIBP? ajuda as organizações a cumprirem a recomendação da agência governamental não regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos (NIST), que por meio de um hash das senhas oferecido aos operadores do site, garantem que essas senhas vazadas não sejam mais usadas pelos usuários para criarem novas contas.

Essa exigência visa atender a utilização crescente “recheio de credenciais” (enchimento de credenciais), no qual os invasores testam essas listas de combinações de login e senha vazadas, comumente usadas em várias contas on-line.

Foto: HIBP/Reprodução

Esta técnica de hacking funciona porque muitas pessoas ainda têm insistido em usar as mesmas senhas para proteger várias contas. Se uma dessas contas for violada, todas as outras com a mesma senha, ficarão vulneráveis ao enchimento de credenciais. “O lançamento de hoje traz a contagem total de senhas Pwned Passwords para 847.223.402, um aumento de 38% em relação à última versão. Mais significativamente, se levarmos em consideração a contagem de prevalência, são 5.579.399.834 ocorrências de uma senha comprometida representada neste corpus”, explica o operador da HIBP, Troy Hunt.

Segundo o FBI, 50 mil contas bancárias foram comprometidas com a mesma técnica desde 2017.

O recheio de credenciais não é uma técnica nova, mas cada vez mais usada e beneficiada por vazamentos de base de dados. Quanto mais falhas dessas acontecem, mais suporte para atacantes testarem contra contas de importância variável, incluindo contas de jogos on-line até contas bancárias e contas de funcionários.

O material recolhido pela polícia e entregue pela NCA ao operador da HIBP, Troy Hunt, foi verificado e descobriu-se que as senhas não estavam no conjunto de dados Pwned Passwords existente. No cache, foram incluídas:

• flamingo228
• Alexei2005
• 91177700
• 123Tests
• aganesq

‘Senhas fornecidas por autoridades são para comunidade’

As senhas fornecidas do HIPB pelo FBI e NCA, enfatiza Hunt, não são para o seu próprio serviço, mas para a comunidade. Com elas, qualquer pessoa pode usar para atender às recomendações do NIST para mitigar o recheio de credenciais.

O conjunto de dados hashed no formato SHA-1 em um arquivo comprimido de 17,2 GB pode ser baixado pelas organizações. Esta é a primeira versão a incluir uma lista regularmente atualizada de credenciais comprometidas descoberta durante investigações de autoridades policiais.

Via ZDNet