Como Saber se o Seu E-Mail foi PWNED?

De acordo com o Breach Level Index (Índice do Nível de Violação), mais de 4 milhões de registros são perdidos ou roubados diariamente. Por isso, não é surpresa que as vítimas das violações de dados estejam procurando formas de verificar se os seus e-mails, senhas, ou outras informações sensíveis foram roubadas. O problema é que enquanto você pode ver relatórios sobre violações de dados que aconteceram com as empresas que falharam em proteger esses dados, elas nem sempre fornecem um meio para verificar de quem as informações foram roubadas. Na verdade, algumas delas escondem que estes incidentes aconteceram até o último minuto. Por isso que nós precisamos uma forma de verificar se os dados foram roubados e ver se os nossos dados estão entre eles. Felizmente, uma pessoa tornou isso possível criando uma ferramenta online chamada Have I been pwned (Eu fui pwned)? Um endereço de e-mail é, sem dúvida, uma das peças de informação que estão sempre sob o risco de serem comprometidas já que nós devemos revelá-las quando fezemos o registro em vários sites e, por este motivo, a ferramenta mencionada tem como foco os endereços de e-mail. Além disto, no próximo parágrafo nós abordaremos como isso funciona e o que fazer caso o usuário encontre os seus dados sensíveis na lista das informações pwned.

O que significa pwn?

Para alguns de vocês, o termo pwn pode soar desconhecido, e é por isso que nós gostaríamos de explica-lo com maiores detalhes. De acordo com o Dicionário Oxford, a palavra pwn é o resultado de alguém cometer um erro de digitação da palavra own enquanto digitando no teclado. Aparentemente, isso ficou popular entre os jogadores de computador que utilizam essa palavra para expressar a sua vitória contra outros jogadores porque a palavra significa “derrota total”. Entretanto, mais tarde, a gíria passou a ser utilizada pela cultura de programação e hackeamento mais conhecida como script kiddie, ou skiddie conforme os membros começaram a utilizar o pwn como um sinônimo do comprometimento ou obtenção do controle sobre outro computador, aplicativo, etc. Em breve o termo passou a ser utilizado para descrever senhas, endereços de e-mail, segurança virtual, etc.. que foram comprometidos.

Como utilizar a ferramenta Have I been pwned?

O Have I been pwned foi criado por Troy Hunt, um Diretor Regional da Microsoft e um especialista internacional em assuntos relacionados à segurança na web. Na introdução do site, ele explica que a ferramenta foi desenvolvida “como um recurso gratuito para qualquer pessoa determinar rapidamente se ela foi colocada em risco devido à uma das suas contas terem sido comprometidas ou "pwned" em um roubo de dados”. Ao visitar o site os usuários podem aprender mais sobre esse projeto bem como inserir as suas senhas ou endereços de e-mail para verificar se elas foram expostas durante um roubo de dados. Existe ainda um serviço de inscrição de e-mail que notifica aqueles que se inscreverem caso a sua conta seja comprometida no futuro.

Alguns de vocês podem estar pensando da onde o site obtém as informações roubadas? Pode parecer que a lista de dados sensíveis que foram pwned vem de serviços com proteção fraca que pertencem aos criminosos cibernéticos responsáveis pelos roubos dos dados em questão. Por exemplo, em Agosto de 2017 um roubo chamado Onliner Spambot ocorreu e 711 milhões de endereços de e-mail únicos foram comprometidos e depois a lista deles foi encontrada em um servidor desprotegido. É essencial explicar que as senhas que foram pwned e os endereços de e-mail foram enviados ao site Have I Been Pwned separadamente, o que significa que iseria impossível agrupar os dois pedaços de informação juntos. Para verificar se os seus dados sensíveis foram comprometidos, você precisa inseri-los em uma caixa de pesquisa específica: aquela paraos  endereços de e-mail, que está localizada na página inicial das ferramentas, e a pesquisa de senha estará disponível se você selecionar a aba de Senhas no menu do site. Por exemplo, ao inserir “mail@gmail.com” no campo de busca de e-mail, isso vai mostrar que este e-mail foi pwned 88 vezes em sites hackeados.

O que fazer se o seu e-mail foi pwned?

No caso do seu e-mail ter sido pwned, os especialistas em segurança recomendam alterar a senha da sua conta e habilitar a Autenticação de Dois Fatores para ela. Ações desse tipo podem impedir os  criminosos cibernéticos de obter acesso à conta. De qualquer forma, mesmo que eles não consigam roubar a sua conta, os hackers podem utilizar o e-mail para enviar spam, e-mails de phishing, e assim por diante. Assim, aqueles que sabem que o seu e-mail foi visto em um roubo de dados são aconselhados a prestar mais atenção ao que eles encontram na sua caixa de mensagem. E-mails de phishing podem personificar uma empresa legítima ao forjar as credenciais do remetente. Por isso, se sabe de algum e-mail que foi pwned, você deve tomar um cuidado extra com as mensagens que alegam que você precisa fornecer os seus dados de login ou outros dados sensíveis para proteger as suas contas de hackers.

Como criar senhas fortes e proteger as suas contas?

Enquanto pode parecer que não há nada que você possa fazer para proteger o seu e-mail de ser pwned durante um roubo de dados, existe algo que você pode fazer para fortalecer a segurança da sua conta, para que os hackers não consigam colocar as mãos nelas. Já por algum tempo, os usuários estão sendo avisados para escolher uma senha aleatória e única contendo pelo menos 8 caracteres, porque dessa forma os ladrões podem ter dificuldades em descobrir a senha se não tem nada a ver com o seu nome de usuário, localização, data de nascimento, etc. Além disso, quanto mais caracteres você utiliza ao criar a sua senha, maior será o nùmero de possíveis variantes, e criminosos os cibernéticos podem ter mais trabalho quando tentarem descobri-la.

O ponto negativo de utilizar senhas aleatórias é que podem se  passar alguns dias desde que você acessou o e-mail, e a senha pode acabar sendo esquecida. Para evitar esse tipo de situação, os especialistas em segurança do computador recomendam utilizar um gerenciador de senhas. Se você está pensando em utilizar este tipo de software, o Gerenciador de Senhas do Cyclonis é uma ótima ferramenta. Ela não apenas permite que os usuários criem senhas aleatórias fortes e façam o acesso às contas automaticamente, mas permite ainda analisar as senhas salvas para garantir que elas sejam fortes o suficiente. Além disso, todas as senhas são armazenadas em um cofre criptografado e podem ser acessadas apenas após do fornecimento de uma senha mestra.

December 26, 2018

Deixe uma Resposta