Pic

Como descobrir se seus dados vazaram

Prof. Dr. Adriano Cansian


Membro do Conselho Consultivo da Resh Cyber Defense




COMO temos visto ao longo de todo o ano de 2019, os vazamentos de dados tem sido cada vez mais comuns. Entre os diversos tipos de vazamentos de dados possíveis, aqueles que mais preocupam são aqueles que, além de conter dados pessoais, também contém senhas de acesso a sites e aplicações.


Saber se seus dados vazaram é muito importante, por diversos motivos. O primeiro deles é que fazer com que você troque sua senha do site ou aplicação que teve dados comprometidos. O segundo, mas não menos importante, é permitir que você troque a senha de outros sites que não tenham sido comprometidos, mas no quais você eventualmente use a mesma senha. Apesar de que usar senhas iguais em sites diferentes seja uma prática fortemente não recomendada, ainda muitas pessoas e empresas fazem isso regularmente. Mas é comum que os atacantes peguem senhas que vazaram há vários meses, ou anos, e tentem usa-las em sistemas onde você tem contas atualmente. Por exemplo, você teve uma senha vazada do site algumsite.com.br com seu email fulano@algumemail.com, e os atacantes guardam estes dados por muito tempo e, posteriormente, testam se o email fulano@algumemail.com está usando a mesma senha em outrosite.com.br. Isso faz com que o comprometimento de uma senha gere uma reação em cadeia, causando muitos transtornos e prejuízos.


Então, é uma boa ideia verificar se suas senhas, mesmo antigas, estão voando pelo ciberespaço. Um site extremamente confiável para saber se suas senhas vazaram é o "Have I Been Pwned?". Numa tradução livre, isso significa algo como "Eu fui dominado?".


Antes de prosseguir, é interessante explicar esta gíria muito peculiar dos hackers. Parece impossível dizer "pwn", mas o termo é usado pelos hackers no  lugar de "own", que em inglês significa "possuir", "dominar", ou "ser possuidor". Então pwned é pronunciado como se estivesse escrito "poned". Os hackers usam no sentido de "possuir" ou ter poder ou domínio sobre alguém ou alguma coisa. Também é usado para descrever o ato de obter acesso ilegal a alguma coisa.


Dito isso, é importante dizer que o site Have I Been Pwned? (HIBP) não é um sistema pirata. Ele é um site legítimo que permite aos usuários da Internet verificar se suas informações pessoais, principalmente senhas, foram comprometidas e vazadas em violações de dados atuais ou passadas.


O sistema do HIBP fica varrendo a internet e buscando centenas bancos de dados piratas e locais mais comuns onde dados vazados costumam aparecer. Ele coleta e analisa bilhões de contas vazadas e permite que os usuários pesquisem suas próprias informações digitando seu nome de usuário ou endereço de email. Os usuários também podem se cadastrar para serem notificados caso seu endereço de email venha a aparecer em futuros vazamentos. O site foi criado pelo especialista em segurança Troy Hunt [1] em dezembro de 2013, e é internacionalmente reconhecido como um recurso valioso para os usuários da Internet que desejam proteger sua própria segurança e privacidade.


Apesar de não possuir uma interface em português, ele é muito fácil e intuitivo de usar. Na página principal basta você colocar o email ou o nome de usuário da conta que você quer pesquisar. O site irá apontar se houve algum vazamento envolvendo estas informações, e o que mais se sabe sobre o vazamento, como por exemplo a origem dos dados, data do vazamento, dentre outras informações. O site não mostra a senha ou as informações vazadas, mas mostra de onde se supõe que os dados vieram. Isso permite que a pessoa avalie se deve atualizar suas senhas relativas àquele email ou conta. O site não coleta os emails ou outros dados pesquisados.


No momento da escrita deste artigo o HIPB possui informações sobre vazamento de dados de 417 sites ou aplicações, contendo mais de 9 bilhões de dados de contas vazadas.


Para ser notificado caso seu email ou conta apareça em algum vazamento futuro basta usar a opção "Notify me" [2] no menu superior do site, e cadastrar os e-mails que você quer monitorar. 


Finalizando, é importante dizer que muitos sites replicam o conteúdo do HIPB e colocam uma busca dentro do seu próprio site. Então eles consultam o site HIPB e repassam o resultado dentro de seu próprio site. Entretanto, nós não recomendamos que você faça isso, e por este motivo também não fazemos isso na Resh. Ao colocar seus dados em outro site, seus dados podem ser armazenados de forma indevida. Nós conhecemos Troy Hunt e sabemos da seriedade com a qual os dados são tratados no HIBP, por isso recomendamos fortemente que você sempre utilize o site original diretamente neste link (difícil de pronunciar): https://haveibeenpwned.com/


 


Boa sorte!


----


[1] Veja quem é Troy Hunt em https://en.wikipedia.org/wiki/Troy_Hunt (em inglês)


[2] Acesso direto em https://haveibeenpwned.com/NotifyMe