Quase 8,5 bilhões de senhas vazaram online. Eis por que pode não ser tão ruim quanto parece

À medida que mais e mais componentes de nossa vida diária passam do mundo real para a internet, o valor da segurança não pode ser exagerado. Cada inovação que adotamos – do Zoom ao TikTok ao mais recente sistema de videogame – vem com um nome de usuário e senha que se juntam às nossas dezenas de outros nomes de usuário e senhas, e as probabilidades são de que cada login individual no baralho de senhas de uma pessoa provavelmente assemelha-se aos outros em pelo menos alguma forma ou forma. Não é necessariamente uma coisa ruim (se sua senha for segura, é claro) – afinal, variações comuns da mesma senha são como as pessoas lembram suas informações de login.

Mas, se apenas uma dessas senhas vazar, é possível que cada uma das senhas de uma pessoa possa ser comprometida como resultado. Imagine a ameaça que um vazamento de 8,5 bilhões de senhas representaria. É a nossa realidade atual, e talvez você nem tenha ouvido falar dela. Os hackers o chamaram de RockYou2021, e os poucos que o relataram trataram-no como uma ameaça de segurança revolucionária, como nunca vimos antes. Isso é uma reação exagerada? RockYou2021 foi realmente tão ruim se nenhum de nós ouviu falar sobre isso? Vamos separar a verdade da ficção.

RockYou2021: O que aconteceu?

Quando as notícias do RockYou2021 surgiram no início de junho de 2021, ele foi imediatamente apelidado de “o maior vazamento de senha da história da Internet", superando em muito o vazamento anterior do RockYou de 2009, que incluiu mais de 32 milhões de senhas. Originalmente, o RockYou2021 era dizem incluir 82 bilhões de senhas – na realidade, o número é cerca de 1/10 disso: 8,459 bilhões de senhas. Para ser claro, com mais de 250 vezes o tamanho do RockYou2009, esse ainda é um número notável de senhas a serem vazadas.

RockYou2021 foi postado como um arquivo de texto de 100 GB em um fórum online muito popular (sem nome) para hackers. Cada uma das quase 8,5 bilhões de senhas tem entre 6 e 20 caracteres, com todos os espaços em branco e caracteres não ASCII removidos do texto. Grandes coleções como essas permitem que hackers e cibercriminosos façam o que é conhecido como “spray de senha”, que envolve tentar um grande número de nomes de usuário e senhas em um período muito curto de tempo para obter acesso a uma conta.

Como o RockYou2021 se compara aos vazamentos de senha do passado

Alguns dos maiores vazamentos de senhas do passado incluem a já mencionada violação de dados RockYou de 2009, a compilação de muitas violações (COMB) de fevereiro de 2021 e a compilação de violação de 2017. Senhas na casa dos bilhões vazaram em cada uma dessas violações combinadas, mas todos eles compartilham uma coisa em comum (RockYou2021 incluído): eles são na verdade uma coleção de inúmeros vazamentos menores colocados em um grande documento.

Com isso, o RockYou2021 é simplesmente uma enorme compilação de outros vazamentos, incluindo o COMB – somente essa violação de fevereiro é responsável por mais de 3 bilhões dos 8,5 bilhões de senhas do RockYou2021. Isso não o torna menos uma ameaça potencial, mas definitivamente ajuda a trazer algum contexto para o tamanho desses vazamentos: como se vê, muitas dessas enormes violações de senha estão simplesmente reutilizando informações passadas e incluindo-as em vazamentos nomeados na tentativa de afogá-los e fazê-los parecer mais ameaçadores. É tudo uma questão de óptica, e uma afirmação como “8,5 bilhões de senhas” está destinada a gerar burburinho, mesmo que quase metade ou mais desses 8,5 bilhões já tenham vazado no passado.

O que o vazamento realmente consiste

Sabemos que esse vazamento é composto por muitos vazamentos do passado, mas e os outros bilhões de senhas? De onde eles vieram? Acontece que, depois de uma investigação minuciosa, a maior parte do RockYou2021 é na verdade apenas uma coleção de muitos dicionários de cracking diferentes. Esses dicionários de cracking consistem em senhas comumente usadas e fáceis de adivinhar que são usadas em ataques de pulverização de senha. Para ser claro, essas não são necessariamente senhas vinculadas a alguém específico, mas senhas que são comumente usadas por muitas contas diferentes.

Isso significa que, em última análise, RockYou2021 não é realmente nada de novo: é reembalado vazamentos do passado e quebra de dicionários com um novo nome na tentativa de parecer mais ameaçador do que realmente é. Não são 8,5 bilhões de senhas tiradas de indivíduos por hackers habilidosos como ladrões noturnos, mas sim uma compilação do trabalho de outros hackers e cibercriminosos do passado. Se fosse um filme, seria um relançamento de edição estendida repleto de cenas deletadas.

Como evitar que suas senhas vazem

Isso não quer dizer que RockYou2021 não deva ser levado a sério, especialmente se uma de suas senhas simples estiver incluída no arquivo de texto. Felizmente, sua melhor linha de defesa também é a mais simples: altere sua senha para que seja impenetrável. Decifrar dicionários e similares dependem de senhas básicas e fáceis de adivinhar, como “Summer2021!” ou “Senha123!” para que os cibercriminosos tenham acesso a todas e quaisquer contas em que possam colocar as mãos.

Se sua senha for uma combinação complexa e impossível de adivinhar de letras, números e símbolos – como as senhas fornecidas e armazenadas com segurança por um gerenciador de senhas -, você provavelmente não precisará se preocupar em ser comprometido tão cedo. Sua primeira linha de defesa contra hackers e cibercriminosos também é a melhor linha de defesa: altere sua senha com frequência, mantenha-a complexa e armazene-a com segurança em seu gerenciador de senhas preferido.