Como vimos ao longo de todo o ano de 2019, os vazamentos de dados se tornaram cada vez mais comuns. Entre os diversos tipos de vazamentos de dados possíveis, aqueles que mais preocupam são aqueles que, além de conter dados pessoais, também contém senhas de acesso a sites e aplicações. Saber se seus dados vazaram é muito importante, por diversos motivos.
O primeiro deles é que fazer com que você troque sua senha do site ou aplicação que teve dados comprometidos. Troque a senha de outros sites que não tenham sido comprometidos, mas nos quais você eventualmente usa a mesma senha. Esse é o segundo passo, mas não menos importante. Apesar de que usar senhas iguais em sites diferentes seja uma prática fortemente não recomendada, ainda muitas pessoas e empresas fazem isso regularmente.
Importância de atualizar as senhas
Mas é comum que os atacantes peguem senhas que vazaram há vários meses, ou anos, e tentem usa-las em sistemas onde você tem contas atualmente. Por exemplo, você teve uma senha vazada do site algumsite.com.br com seu email fulano@algumemail.com, e os atacantes guardam estes dados por muito tempo e, posteriormente, testam se o email fulano@algumemail.com está usando a mesma senha em outrosite.com.br. Isso faz com que o comprometimento de uma senha gere uma reação em cadeia, causando muitos transtornos e prejuízos.
Então, é uma boa ideia verificar se suas senhas, mesmo antigas, estão voando pelo ciberespaço. Um site extremamente confiável para saber se suas senhas vazaram é o “Have I Been Pwned?“. Numa tradução livre, isso significa algo como “Eu fui dominado?”.
Antes de prosseguir, é interessante explicar esta gíria muito peculiar dos hackers. Embora pareça impossível dizer “pwn”, os hackers usam o termo no lugar de “own”, que em inglês significa “possuir”, “dominar” ou “ser possuidor”.. Então pronuncie “pwned” como se estivesse escrito “poned”.. Os hackers usam no sentido de “possuir” ou ter poder ou domínio sobre alguém ou alguma coisa. Também descreve o ato de obter acesso ilegal a alguma coisa.
Dito isso, é importante dizer que o site Have I Been Pwned? (HIBP) não é um sistema pirata. Permite aos usuários da Internet verificar se suas informações pessoais, principalmente senhas, foram comprometidas e vazadas em violações de dados atuais ou passadas, e é um site legítimo.
Sistema de busca de dados vazados
O sistema do HIBP fica varrendo a internet e buscando centenas bancos de dados piratas e locais mais comuns onde dados vazados costumam aparecer. Ele coleta e analisa bilhões de contas vazadas e permite que os usuários pesquisem suas próprias informações digitando seu nome de usuário ou endereço de email. Os usuários podem se cadastrar para que o site os notifique caso seu endereço de email apareça em futuros vazamentos. O especialista em segurança Troy Hunt criou o site em dezembro de 2013, e ele é reconhecido internacionalmente como um recurso valioso para os usuários da Internet que desejam proteger sua própria segurança e privacidade.
Como verificar se os seus dados vazaram?
Apesar de não possuir uma interface em português, ele é muito fácil e intuitivo de usar. Na página principal basta você colocar o email ou o nome de usuário da conta que você quer pesquisar. O site irá apontar se houve algum vazamento envolvendo estas informações, e o que mais se sabe sobre o vazamento, como por exemplo a origem dos dados, data do vazamento, dentre outras informações. O site não mostra a senha ou as informações vazadas, mas mostra de onde se supõe que os dados vieram. Isso permite que a pessoa avalie se deve atualizar suas senhas relativas àquele email ou conta. O site não coleta os emails ou outros dados pesquisados.
No momento da escrita deste artigo o HIPB possui informações sobre vazamento de dados de 417 sites ou aplicações, contendo mais de 9 bilhões de dados de contas vazadas.
Para receber notificações caso seu email ou conta apareça em algum vazamento futuro, use a opção “Notify me” no menu superior do site e cadastre os e-mails que você deseja monitorar.
Como acessar o sistema HIPB
Finalizando, é importante dizer que muitos sites replicam o conteúdo do HIPB e colocam uma busca dentro do seu próprio site. Então eles consultam o site HIPB e repassam o resultado dentro de seu próprio site. Entretanto, nós não recomendamos que você faça isso, e por este motivo também não fazemos isso na Resh. Se você colocar seus dados em outro site, o site pode armazená-los de forma indevida.. Conhecemos Troy Hunt e sabemos que ele trata os dados com seriedade no HIBP. Por isso, recomendamos fortemente que você use sempre o site original diretamente neste link (difícil de pronunciar): https://haveibeenpwned.com/
Boa sorte!
—-
[1] Veja quem é Troy Hunt em https://en.wikipedia.org/wiki/Troy_Hunt (em inglês)
[2] Acesso direto em https://haveibeenpwned.com/NotifyMe
Prof. Dr. Adriano Cansian
Membro do Conselho Consultivo da Resh Pentest Experts
