Após a notícia de uma grande violação dos servidores do Google que resultou na invasão de 5 milhões de endereços de e-mail, vários sites sugeriram que os leitores verificassem se foram vítimas inserindo seus endereços de e-mail em “ferramentas de verificação” - sites que podem determinar se um endereço de e-mail está em uma lista de credenciais hackeadas.
O problema é que algumas dessas ferramentas de verificação não eram tão legítimas quanto os sites que ligam a elas podem ter esperado…
5 milhões de endereços de e-mail: a verdade
Relatado na época como um enorme vazamento de 5 milhões de nomes de usuário e senhas de contas do Gmail, logo se constatou que a história era, bem, apenas isso: uma história.
Explicando isso um pouco mais tarde, o Google revelou que menos de 2% das combinações de nome de usuário / senha eram precisas e que suas próprias ferramentas de segurança de login teriam captado a maioria delas.
Eles também esclareceram que as credenciais não foram hackeadas de seus próprios servidores, mas de outros sites:
É importante observar que, nesse caso e em outros, os nomes de usuário e senhas que vazaram não foram o resultado de uma violação dos sistemas do Google. Geralmente, essas credenciais são obtidas por meio de uma combinação de outras fontes.
Por exemplo, se você reutilizar o mesmo nome de usuário e senha nos sites e um desses sites for invadido, suas credenciais poderão ser usadas para fazer login nas outras.
Assim, uma conta do Gmail detectada em uma violação anterior - de alto perfil ou de outra forma - poderia ter sido uma daquelas no despejo de dados de credenciais nas mãos dos "hackers". Essencialmente, informações que já podem estar on-line de uma forma ou de outra, contas do Gmail são extraídas de várias fontes.
Mas como essa história se tornou popular tão rapidamente? Provavelmente com a ajuda de um número grande e redondo como 5 milhões, e a sequência inteligente dos hackers que postaram as senhas da conta em um fórum russo da Bitcoin. Acrescente uma ferramenta de verificação on-line que confirme se sua própria conta de e-mail está no despejo e você terá uma grande notícia.
Claro, parece provável que o site isleaked.com não seja o site que as pessoas pensavam que era.
Como funciona um verificador de contas de e-mail falsificado
Verificando um endereço de e-mail em um banco de dados (que pode ser SQL, Access ou até mesmo um arquivo de texto Então, o que é um banco de dados?) [MakeUseOf Explains] Para um programador ou entusiasta da tecnologia O conceito de banco de dados é algo que realmente pode ser tomado como garantido, mas para muitas pessoas o conceito de banco de dados em si é um pouco estranho .... Ler mais) de contas de e-mail hackeadas é relativamente simples. Combinado com um script facilmente baixado, esse site pode ser configurado em 30 minutos ou mais.
Troy Hunt, por sua vez, tem uma abordagem muito melhor, e é por isso que você deve usar o site dele para verificar o vazamento de suas credenciais sempre que ler ou ouvir falar de uma invasão de conta.
Como explicado em seu blog, Hunt criou o Have I Been Pwned ?, um site legítimo (Hunt é um MVP da Microsoft para Developer Security) projetado para usuários comuns digitarem seus endereços de e-mail e descobrirem se foram hackeados ou não. Usando dados enviados a sites como o Pastebin.com, ele até informa qual violação é responsável pela presença de sua conta de e-mail em seu banco de dados.
Procurando uma verificação de conta de e-mail legítima hackeada?
Quando os resultados são exibidos, o site exibe o nome do site cujos detalhes da conta foram vazados. Esperançosamente, esse site teria lhe enviado um email particular ou feito um anúncio.
(Claro, se você estiver preocupado que sua conta de e-mail foi hackeada, você deve alterar sua senha de qualquer maneira. Lembre-se de torná-la segura e memorável. 6 dicas para criar uma senha inquebrável que você pode lembrar 6 dicas para criar uma senha inquebrável que você Pode Lembrar Se suas senhas não são únicas e inquebráveis, você pode também abrir a porta da frente e convidar os ladrões para almoçar.
Como você pode ver na imagem acima, minha conta de e-mail foi uma das muitas recuperadas na enorme violação da Adobe de 2013. Você deve usar as informações que o site da Hunt fornece para agir imediatamente, embora esteja ciente de que, mesmo quando sua senha foi alterada, seu endereço de e-mail permanecerá no site.
Se for prático, também pode valer a pena mudar o endereço de e-mail que você usa com suas contas on-line.
Due Diligence não deve ser uma coisa do passado
Um elemento vital do jornalismo é a diligência devida; a verificação dos fatos. Basta regurgitar comunicados de imprensa não é suficiente. Qualquer escritor, seja produzindo conteúdo por US $ 1 por mil palavras ou assalariado a um nome de topo na publicação, pode fazer isso.
Infelizmente na World Wide Web, isso não acontece o suficiente.
Alguns minutos de checagem de fatos teriam mostrado que a afirmação de 5 milhões de endereços era uma invenção. Como informamos na época, os endereços foram retirados de uma coletânea de vazamentos anteriores do Gmail, Microsoft Drops Windows Phone, e mais ... [Tech News Digest] As senhas do Gmail vazam on-line, a Microsoft descarta o Windows Phone e muito mais ... [Tech News Digest] Além disso, críticas negativas, Deezer em os EUA, o Google Pyramids, o NES 3DS, e uma máquina iluminando Rube Goldberg. Consulte Mais informação . Os hackers russos conseguiram reunir uma lista em vez de violar a segurança do Google.
De particular suspeita, entretanto, foi o site recomendado por muitos sites para verificar e-mails, isleaked.com . Curiosamente registrada apenas dois dias antes do vazamento, na Rússia, sua súbita existência foi extremamente fortuita ou planejada.
Como sempre digo, não há coincidências na segurança online.
Afinal de contas, que melhor maneira de confirmar a lista de endereços que você alega ter hackeado do que conseguir que os proprietários da conta verifiquem se ainda estão sendo usados ou não? É o modus operandi dos spammers - os endereços mortos são inúteis, e é por isso que muitos e-mails de spam pedem que você responda. Sua resposta é registrada e o endereço é retido.
O verificador de e-mails de vazamento isleaked.com poderia facilmente ser uma abordagem mais sofisticada. Enquanto eles afirmam:
Nós não coletamos seus e-mails, URLs / endereços IP, registros de acesso nem verificamos os resultados. Ou não fazemos nada prejudicial com o seu dispositivo durante o teste!
… Há poucos motivos para confiar no site. Troy Hunt, que tem uma reputação a defender, explica como o site funciona, por isso faz sentido usá-lo.
O veredicto: não reaja sem os fatos
O que podemos aprender com isso é que ninguém deve agir de acordo com alegações de violações de dados e hacks sem possuir todos os fatos. Há simplesmente muitas variáveis a serem levadas em conta.
Com as alegações de hack do Gmail, parece uma suposição segura de que os supostos hackers estavam simplesmente verificando sua coleção de endereços, supostamente usados em várias campanhas de spam.
Algumas eram genuínas, outras expiraram por muito tempo.
O melhor site para verificar se o seu email foi invadido e encontrado em um site como o Pastebin.com é o site haveibeenpwned.com.
Ironicamente, no que diz respeito aos 5 milhões de endereços do Gmail que foram supostamente hackeados do Google, foi a imprensa de tecnologia que realmente ficou interessada.
Rob Hyrons via Shutterstock