Há alguns dias, o website Cybernews relatou ter encontrado na rede um número impressionante de dados pessoais relacionados com milhares de milhões de contas. Esta enorme base de dados é constituída por um ficheiro em formato TXT, pesado 100GB, com os dados pessoais de 8.459.060.239 contas. Isso é mais do que toda a população mundial. O número é ainda mais surpreendente se considerarmos apenas os utilizadores que criaram pelo menos uma conta na Internet, que são cerca de 4.7 mil milhões.

O ficheiro em questão foi nomeado RockYou2021 com uma referência clara à empresa RockYou que recentemente sofreu um roubo cibernético de mais de 30 milhões de credenciais. No entanto, a base de dados não é o resultado de um único ataque de hacking, mas sim uma compilação de dados de múltiplos roubos de dados pessoais. O ficheiro RockYou2021 também inclui dados da Compilation of Many Breaches que, com 3.2 mil milhões de credenciais, detém o recorde do maior número de roubos cibernéticos desde Fevereiro passado.

Os dados de RockYou2021 são o trabalho de anos de recolha de informação confidencial vazada através das numerosas fugas nas redes sociais, bancos e outras entidades às quais se acede com credenciais. A maioria dos dados consiste em palavras-passe que vão de 6 a 20 caracteres. Não há os nomes dos utilizadores donos dos endereços e-mails e das palavras-passe, e isto poderia tranquilizar: mas não é bem assim porque estes dados poderiam ser utilizados para os chamados ataques de força bruta com os quais os hackers acedem às contas protegidas.

O site Cybernews disponibilizou uma ferramenta para verificar se os nossos dados estão ou não presentes na base de dados. Abre-se a página Personal Data Leak Check que consiste numa caixa de pesquisa, depois é só seguir as instruções:

1. digitar um endereço de e-mail para verificar se está presente ou não na base de dados;
2. clicar em Check Now.
3. Se aparecer a escrita em vermelho Oh no! Your data has benn leaked (“Oh não! Os seus dados foram divulgados”) significa que o nosso e-mail está presente na base de dados com uma palavra-passe junto a ela. Pode ser uma senha antiga e não a mais recente; em qualquer caso, é bom levá-la a sério e activar as protecções descritas mais logo. Note-se que é fornecido também o nome do roubo que levou a que os dados fossem tornados públicos. No meu caso, os dados saíram com a chamada breachcomp2.0 que envolveu Netflix, Gmail e Hotmail num total de 3.2 mil milhões de dados.
4. Se em vez disso for mostrada a escrita verde We haven’t found your data among the leaked one (“Não encontrámos os teus dados entre aqueles partilhados”) significa que o nosso e-mail ainda não está na posse de hackers.

Também é possível verificar o nosso número de telefone, fixo ou móvel: o processo é idêntico só que em vez dum endereço e-mail será inserido um número de telefone precedido pelo prefixo internacional (+351 para Portugal, +55 para o Brasil, para os outros Países é possível consultar a lista aqui).

O que fazer?

O vosso endereço e-mail está na lista? Ahiahiahiahi… eis o que fazer: a primeira coisa é, evidentemente, alterar a palavra-chave, mesmo que já o tenhamos feito recentemente. É boa prática mudar a senha das contas mais importantes uma vez cada seis meses, pelo menos no caso das contas mais importantes (como o Home Banking).

Outra operação muito importante a fazer é permitir a verificação em duas fases, ou a verificação em dois factores ou 2FA. Com esta activação, para aceder a uma conta a partir de um novo navegador ou dispositivo, não será suficiente digitar o endereço de correio electrónico e palavra-chave, mas também será preciso introduzir um código de seis dígitos enviado por SMS para o nosso telemóvel ou gerado por uma aplicação especial.

A terceira precaução é prestar atenção aos emails de spam e especialmente aos emails de phishing.  Estas são mensagens com informação falsa acerca das contas ou de contas bloqueadas com um convite para digitar os detalhes para as desbloquear. Obviamente, estes dados serão então utilizados para fins criminosos. Nenhum banco convida os clientes a fornecer o PIN ou os detalhes de cartão de crédito e o mesmo se aplica a serviços como Paypal, Amazon e eBay, que são os mais frequentemente copiados. É preciso olhar cuidadosamente para o remetente destes e-mails, que são semelhantes mas diferentes dos oficiais.

No geral: abram com precaução os e-mails de remetentes desconhecidos. Melhor ainda: não abram.

A seguir, é necessário criar palavras-passe fortes e, portanto, menos fáceis de quebrar. Óbvio que esta medida é inútil se depois os nossos dados forem vazados, mas é uma precaução que deve ser tida em conta constantemente. As palavras-passe devem ser compostas de pelo menos 8 caracteres com letras maiúsculas e minúsculas, números e sinais ortográficos espaçados entre eles.

Para guardar as palavras-passe utilizar um programa open source entre:

Finalmente: ter perto do computador ou do smartphone uma imagem do Beato Carlo Acutis, padroeiro de internet. Eu antes tinha uma pequena estátua do Buda mas este demonstrou ser um incapaz pois não impediu o vazamento dos meus dados. Buda foi removido e deslocado para perto da gaiola de Alfa e Romeo, os dois periquitos: vamos ver se pelo menos aí consegue fazer algo de jeito.

Nota: desde a publicação do ficheiro RockYou2021, por três vezes alguém tentou entrar na conta Facebook de Informação Incorrecta. Talvez disponibilizar este tipo de listas online não seja uma ideia brilhante…

Ipse dixit.