As 8 Maiores Violações de Senhas de 2018

Infelizmente, 2018 revelou que muitas empresas não estão preparadas para os ataques cibernéticos e não podem proteger as nossas informações pessoais, já que muitas violações maciças de dados que expuseram dados pertencentes a milhões de usuários em todo o mundo aconteceram no ano passado. No entanto, neste artigo, nos concentraremos apenas nas violações de senha que, entre outras informações confidenciais, expuseram as senhas dos usuários e, portanto, podem ter comprometido as suas contas. Naturalmente, se não podemos confiar nas organizações para manter os nossos dados seguros, cabe a nós mesmos protegermos a nossa privacidade. Naturalmente, mesmo se você tomar todas as precauções recomendadas, o risco dos seus dados confidenciais serem comprometidos ainda está lá. A diferença é que, se você agir, poderá diminuir o risco das suas informações pessoais serem roubadas pelos hackers e uma das maneiras de fazer isso é configurar senhas exclusivas. Se você não tiver certeza de como criar as senhas que protegeriam as suas contas junto com as informações armazenadas nelas, nós convidamos você a ler o nosso artigo completo, pois, além disso, contaremos como proteger e reforçar as senhas.

Para começar, gostaríamos de apresentar as violações de senha mais significativas que ocorreram no ano passado. Entender como esses ataques ocorrem é necessário para entender o que pode ficar comprometido durante eles ou o que fazer se você for afetado por tais ataques. Assim, sem mais delongas, daremos a você as 8 principais violações de senha de 2018.

1. MyFitnessPal

O MyFitnessPal é usado por muitas pessoas que buscam receitas, motivação e outros meios para alcançar os seus objetivos de fitness. Infelizmente, os usuários do aplicativo descobriram que foram atingidos por uma violação de senha em 29 de março. Seus proprietários revelaram que  é possível que o ataque tenha ocorrido no final de fevereiro, o que significa que levou cerca de um mês para a empresa perceber o que aconteceu. Algumas violações de dados levam meses, ou até anos, para serem descobertas, portanto, essa não foi tão ruim quanto parece. Especialmente, quando alguns dos dados roubados podem levar anos para serem decifrados. Aparentemente, o MyFitnessPal está usando um robusto mecanismo de hashing de senha que torna quase impossível decodificar as senhas protegidas por ele. Ainda assim, por segurança, os usuários são encorajados a substituir as suas senhas. Dessa forma, mesmo que os cibercriminosos encontrem os meios para decifrar os dados com hash, elas se tornarão inúteis.

Além de senhas com hash, os cibercriminosos conseguiram obter endereços de e-mail e nomes de usuários de aproximadamente 150 milhões de usuários do aplicativo. Os especialistas em segurança cibernética aconselham manter um olho no conteúdo que os usuários podem receber por meio dos e-mails comprometidos. Talvez os invasores não consigam hackear a conta se ela tiver uma senha complexa, mas isso não impedirá o envio de e-mails de phishing para ela ou a venda do endereço para vários golpistas.

2. Quora

No final de 2018, em torno de 100 milhões de usuários do Quora, um site de perguntas e respostas popular, foram avisados ​​de que os seus dados estavam sendo hackeados. De acordo com a atualização de segurança da empresa, os seus sistemas foram acessados ​​por um terceiro mal-intencionado. Durante a violação das senhas, os cibercriminosos por trás dela conseguiam roubar vários dados dos usuários, por exemplo, nomes de usuários, endereços de e-mail, dados importados de redes vinculadas e senhas criptografadas. Igual ao MyFitnessPal, o Quora está usando um algoritmo de hash complexo que transforma todas as senhas dos usuários armazenadas nos seus sistemas em dados aleatórios. Para ser mais preciso, as senhas com hash não podem ser lidas e precisam ser decifradas primeiro, mas no caso de um forte mecanismo de hashing (por exemplo, hashing com salting) ser usado, torna-se desafiador e caro fazê-lo. Por outro lado, os usuários devem perceber que os hackers podem decifrar as suas senhas sem descriptografá-las se forem fáceis de adivinhar. Ou seja, sabendo o seu nome de usuário, os invasores podem tentar senhas de dicionário, tais como senha123 ou 123456. É melhor não se arriscar com senhas fracas e substituir imediatamente as combinações comprometidas.

3. MyHeritage

Aqueles de vocês que já tentaram encontrar os seus antepassados ​​com a ajuda da plataforma de genealogia on-line conhecida como MyHeritage podem ter ouvido falar de uma violação de dados que foi descoberta em junho. Essa violação de senhas afetou cerca de 92 milhões de usuários. A parte interessante é que a empresa soube do ataque, não por perceber algo incomum nos seus sistemas, mas ao encontrar acidentalmente um  banco de dados chamado myheritage. Ele foi enviado aos proprietários da plataforma por um pesquisador de segurança cibernética que o localizou em um servidor privado, de propriedade de alguém de fora da organização. Além disso, a pesquisa revelou que o banco de dados continha endereços de e-mail e senhas de todos os usuários que se registraram no MyHeritage até 26 de outubro de 2017. Felizmente, nenhuma informação de pagamento foi encontrada, pois a empresa conta com serviços de terceiros para lidar com os pagamentos dos usuários . Quanto aos dados de DNA e árvores genealógicas, eles estão seguros, bem como essas informações são mantidas em um servidor separado daquele que contém os nomes de usuários e senhas com hash. Assim, os usuários devem simplesmente alterar as suas senhas apenas por segurança, e não devem ter nada com o que se preocupar. Você também pode ler mais sobre isso em uma postagem no nosso blog.

4. Chegg

A Chegg é uma empresa de tecnologia educacional com sede nos Estados Unidos. Ela é especializada no aluguel de livros on-line, aulas particulares on-line, correspondência de estágio e ajuda para trabalhos de casa. No entanto, parece que a organização pode precisar melhorar tanto as suas práticas de segurança cibernética quanto a sua comunicação. A quebra de senhas que sofreu pode ter comprometido cerca de 40 milhões de contas. Os representantes da Chegg demoraram para notificar o público e os usuários da plataforma sobre o incidente, pois, de acordo com Phil Hill, especialista em segurança cibernética, eles esperaram por uma semana depois de preencher o formulário da SEC. Além disso, a violação foi descoberta em 19 de setembro, o que poderia acontecer meses depois da violação da senha, já que uma pesquisa mostra que pode ter ocorrido em 29 de abril. As informações coletadas incluem nomes, endereços de e-mail, endereços de remessa, nomes de usuário e senhas . Neste caso, não se sabe quão seguras as senhas roubadas podem ser, já que a empresa não diz qual o algoritmo de hash foi usado para protegê-las.

5. SHEIN

Como você pode ver agora, os hackers roubam dados onde quer que eles estejam, e as lojas de roupas online não são uma exceção. Aqueles que gostam de fazer compras na SHEIN, um varejista de moda popular nos Estados Unidos, aprenderam isso no dia 21 de setembro, quando a empresa notificou o público sobre uma violação de senha.. Diz-se que o incidente, na verdade, ocorreu em junho. Além disso, o relatório da organização revelou que haviam backdoors nos servidores SHEIN que permitiam que os cibercriminosos instalassem malware no sistema. Naturalmente, o software malicioso foi removido e o site está trabalhando com especialistas em segurança cibernética para evitar que algo assim aconteça no futuro. O número de contas comprometidas foi de cerca de 6,42 milhões. Parece que os invasores conseguiram obter os endereços de e-mail e as senhas criptografadas dos usuários. Como não foi divulgado qual algoritmo de criptografia foi usado, seria sensato alterar a senha comprometida o mais rápido possível. Maiores informações sobre o que aconteceu e o que os usuários afetados devem fazer podem ser encontradas no artigo Perguntas Freqüentes.

6. Adidas

Outra empresa que entrou na lista é uma conhecida multinacional que projeta e fabrica sapatos, roupas e acessórios. A Adidas anunciou a descoberta de uma violação de dados que afeta is usuários que compraram da adidas.com/US em 26 de junho. O anúncio não informou quantos usuários, em particular, foram afetados, mas de acordo com a CBS News, o porta-voz da organização estimou que poderiam ser alguns milhões de usuários. Quanto aos dados que podem ter sido obtidos pelos cibercriminosos, diz-se que poderiam ter sido informações de contato, nomes de usuários e as senhas criptografadas dos usuários. Todos os usuários afetados estavam sendo notificados sobre o incidente por e-mail. Mudar a senha comprometida é provavelmente o melhor curso de ação, já que a empresa não diz quão forte era o algoritmo de criptografia e se poderia ter protegido eficientemente as senhas dos usuários da adidas.com/US.

7. T-Mobile

A T-Mobile, operadora de rede sem fio dos Estados Unidos, também não estava preparada para os ataques cibernéticos, pois sofreu uma violação de senha em 20 de agosto. De acordo com especialistas da Motherboard, os representantes da empresa alegaram que o ataque afetou cerca de 2 milhões de usuários e que nenhuma senha foi comprometida, embora mais tarde o representante da organização tenha admitido que os hackers conseguiram obter senhas criptografadas. Os especialistas em segurança cibernética aconselham os usuários afetados pela violação a presumir que suas senhas já foram quebradas e sim alterá-las imediatamente, pois eles descobriram que a empresa usava um método de criptografia bastante fraco. O  anúncio da T-Mobile não incentiva os usuários a alterarem as suas senhas, embora seja dito: "Lembre-se, é sempre uma boa ideia alterar regularmente as senhas da conta". A declaração mencionada pode ser encontrada na seção de perguntas frequentes. Queremos acrescentar que é igualmente importante saber como proteger e reforçar senhas e discutiremos isso logo abaixo dessa lista.

8. MBM Company Inc.

A última organização na nossa lista comprometeu informações pertencentes a aproximadamente 1,3 milhão de usuários. A MBM Company Inc. é parceira do Walmart, que opera a joalheria Limoges. A empresa usou um bucket do Amazon S3 (Amazon Storage Service) configurado incorretamente, que criou uma oportunidade para os hackers violarem os sistemas da organização e roubarem as informações pessoais dos seus clientes. O incidente foi relatado pelo especialistas em segurança cibernética da Kromtech que descobriram um arquivo contendo nomes de usuários, endereços, códigos postais, números de telefone, endereços de e-mail, endereços de IP e senhas. A descoberta mais chocante foi que as senhas estavam em texto simples ou, para ser mais preciso, não eram criptografadas de nenhuma maneira e podiam ser lidas com facilidade. Infelizmente, em tais casos, até mesmo saber como proteger e fortalecer senhas pode ser inútil.

Agora que apresentamos as violações de senha mais significativas de 2018, é hora de falar sobre como proteger a sua privacidade e quais precauções você pode tomar para diminuir o dano que pode ocorrer durante um incidente desse tipo. A primeira regra de ouro não é compartilhar informações pessoais, tais como nomes, endereços de e-mail ou números de telefone, em sites que não podem garantir a segurança dessas informações. Como saber se a empresa pode proteger a sua privacidade? Recomendamos fazer uma pequena pesquisa sobre as suas práticas de proteção de privacidade. Mesmo que a organização tenha experimentado uma violação de dados antes, isso não significa que ela não possa mais ser confiável.

Pelo contrário, algumas empresas valorizam a sua reputação e fazem todo o possível para garantir que as informações dos seus clientes nunca sejam comprometidas novamente. Em outras palavras, isso diz muito sobre como as organizações lidam com esses incidentes, se eles notificam os seus usuários imediatamente, investem na contratação de especialistas e assim por diante. Caso você não saiba se a empresa lidará com suas informações com cuidado, não deverá usar o seu principal endereço de e-mail e fornecer o mínimo de dados possível.

Outra coisa que você deve sempre ter em mente é que, se o seu endereço de e-mail ou número de telefone for comprometido, você deve monitorar o conteúdo recebido por e-mails ou mensagens de texto. Como você vê, se essas informações chegarem às mãos dos hackers, não se sabe como elas poderiam ser usadas. Os cibercriminosos podem até vendê-los a várias partes e, como resultado, o seu endereço de e-mail ou número de telefone pode ser usado para vários fins, por exemplo, para tentar enganá-lo ou espalhar malware. Nós não dizemos que você deve temer cada mensagem ou e-mail que receber, mas seria sensato ser cauteloso se tal conteúdo vier de fontes desconhecidas ou levantar suspeitas.

Em seguida, para dificultar o acesso dos hackers às suas contas, você deve sempre usar senhas complexas. Como mencionamos anteriormente, mesmo que o site violado armazene apenas as senhas criptografadas, isso não significa que a sua conta estará segura se você estiver usando uma senha fraca. Em outras palavras, os cibercriminosos poderiam usar a força bruta. Consequentemente, para garantir a máxima proteção, é necessário usar senhas fortes. Para os usuários que não conseguem criar combinações complexas sozinhos ou tem medo de esquece-las, nós aconselhamos o uso de um  Gerador de Senhas eficiente. Por exemplo, o Gerenciador de Senhas do Cyclonis possui um Gerador de Senhas integrado que cria senhas únicas do tamanho e com os caracteres escolhidos. A sua barra de complexidade também mostra quão segura é a combinação para que você possa alterar as suas escolhas até que a sua senha seja forte o suficiente. Ou seja, ao usá-lo, você não precisa se preocupar sobre como proteger e reforçar senhas, uma vez que o aplicativo faz isso por você.

Cyclonis também pode lembrar senhas, então você não tem que memorizá-las você mesmo. Além disso, ele analisa todas as senhas salvas para  calcular o seu Índice de Força Total e informar quais das suas credenciais de login podem precisar ser alteradas para garantir a máxima segurança. Naturalmente, o aplicativo pode ser útil não apenas ao criar novas senhas, mas também ao substituir as antigas, o que geralmente é necessário em caso de violações de senha. O usuário afetado por uma violação de dados deve substituir não apenas a senha da conta comprometida, mas também as senhas de todas as outras contas, se elas compartilham a mesma combinação ou uma combinação semelhante. Os cibercriminosos sabem que muitas pessoas tendem a usar as mesmas credenciais de login ou apenas um pouco diferentes em todos os lugares, portanto, se obtiverem o seu nome de usuário ou senha, eles poderão usar essas informações para procurar as suas outras contas possíveis e invadi-las. É por isso que é melhor usar senhas e nomes de usuário exclusivos.

Por fim, recomendamos enfaticamente o uso dos recursos extras de segurança que algumas páginas da Web oferecem. Várias plataformas de mídia social e provedores de e-mail podem oferecer a opção da Autenticação de Dois Fatores. Por exemplo, o Cyclonis oferece Autenticação de Dois Fatores via e-mail; é quando um usuário pode efetuar o login somente depois de fornecer um código de verificação enviado para o seu endereço de e-mail. Outro exemplo é o recurso  Notificaçōes de Login do Facebook. Os usuários que o habilitam podem receber alertas quando alguém tentar fazer login nas suas contas através de dispositivos desconhecidos (por exemplo, telefones ou computadores que o proprietário da conta nunca usou antes). Como o problema de proteger as contas dos usuários e as informações pessoais sobre eles continua crescendo cada vez mais, as empresas integram vários recursos para ajudar a evitá-los. Portanto, é altamente recomendável verificar os novos recursos de segurança que você pode aproveitar para proteger a sua privacidade. .

Ao todo, 2018 provou ser um ano desafiador para muitas empresas que não estavam preparadas para ataques cibernéticos, tais como as violações de senhas. Esperamos que mais e mais organizações tomem as providências necessárias para garantir que os dados confidenciais dos seus usuários estejam protegidos em 2019. No entanto, todos nós devemos fazer a nossa parte também para garantir que as nossas informações pessoais não cheguem às mãos erradas. Muitos usuários estão concentrados em proteger as suas informações bancárias ou dados confidenciais da mesma forma, mas ataques a, por exemplo, sites de mídia social ou aplicativos de condicionamento físico, apenas provam que qualquer informação é valiosa para os hackers. Portanto, é altamente recomendável perguntar a si mesmo se as suas informações estarão seguras toda vez que você as fornecer a um site, bem como fazer uso de dicas sobre como proteger e fortalecer as senhas discutidas neste artigo.

 

Por Foley
January 9, 2019
January 9, 2019

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 5 + 5 ?