O texto com que Troy Hunt apresenta a maior coleção de dados privados já divulgada na Internet por hackers começa assim: “Muitas pessoas vão chegar a esta página depois de saberem que o seu endereço de e-mail apareceu numa fuga de dados a que chamei ‘coleção #1′”. Depois, tudo piora: “O total de endereços de e-mail únicos [hackeados] é de 772.904.991.” Por outras palavras: quase 773 milhões de e-mails de utilizadores que não possuem outras contas de correio eletrónico comprometidos. Igualmente mau? “Há 21,222,975 passwords únicas” usadas por utilizadores para vários serviços comprometidas e submetidas na “Coleção #1”. Ao todo são mais de 12 mil ficheiros e mais de 87 gigabytes de informação pessoal comprometida.

Troy Hunt é um informático que desenvolveu sites e ferramentas para zelar pela proteção de dados e segurança online. Quando em dezembro descobriu aquilo a que depois chamou “Coleção #1” num fórum de hackers, depois de os ficheiros já terem passado pelo serviço de alojamento de dados MEGA (sucessor do Megaupload), percebeu que se tratava da maior compilação de sempre de dados pessoais comprometidos, uma agregação de dados provenientes de grandes hacks públicos (por exemplo, os emails afetados com o grande roubo de 360 milhões de contas da plataforma Myspace em 2008 e os emails comprometidos com as 164 milhões de contas de LinkedIn hackeadas em 2016) com múltiplas coleções de dados pessoais obtidas por diferentes hackers na internet, algumas das quais ainda não conhecidas.

Pelo menos 140 milhões de contas de e-mail e mais de 10 milhões de passwords únicas da “Coleção #1” não tinham chegado ainda à base de dados do informático, o que significa, segundo ele, que não surgiram no passado em alguns dos maiores e mais mediáticas roubos de dados da história, como relata o The Guardian.

Ouvidos pelo jornal inglês The Guardian, alguns especialistas em segurança informática sublinham a importância cada vez maior de utilização de “gestores de passwords”, uma ferramenta que permita criar, memorizar e preencher de forma automática passwords mais difíceis de descobrir. A ferramenta é providenciada por serviços como o 1Password e o LastPass.

Apesar da gravidade da violação e divulgação de emails pessoais dos utilizadores através da “Coleção #1”, a revista norte-ameircana Wired refere que esta aglutinação de dados comprometidos “não parece incluir informação mais sensível como dados de cartões de crédito ou números de segurança social” dos utilizadoes. Ainda assim, é uma coleção de hacks “histórica”, a “maior de sempre”.

Em dois cliques, pode verificar se o seu e-mail foi comprometido

Desde que descobriu a compilação de dados comprometidos a que chamou “Coleção #1”, Troy Hunt carregou-os num site que criou para permitir aos utilizadores monitorizar a segurança das suas contas de correio eletrónica. O site chama-se Have I Been Pwned e é descrito como uma ferramenta de pesquisa que permite saber se determinado e-mail ou password já foram alguma vez comprometidos por violações de segurança.

O método é relativamente simples: basta clicar aqui, escrever o seu endereço de e-mail e o motor de busca dir-lhe-á se há já registo de ter sido corrompido. O Have I Been Pwned contém ainda uma lista de sites que já sofreram violações de segurança no passado. A lista inclui desde sites de marcação de encontros ao fórum do site BitTorrent, passando pelo site Cannabis.com, o site do festival de música Coachella, a plataforma agregadora de vídeos Dailymotion, o site da Forbes, a plataforma de crowdfunding Kickstarter, o site do Quatar National Bank, a rede social Snatpchat, os sites de pornografia Brazzers e YouPorn, o site Yahoo e o guia de restaurantes Zoomato.

