Mesmo em um cenário marcado nos últimos anos por expressivos volumes da dados sensíveis acessados com objetivos criminosos, o comprometimento de 87GB de informações pessoais, representando cerca de 773 milhões de endereços únicos de e-mail e mais de 22 milhões de senhas de acesso exclusivas, coloca a questão de segurança de dados em um novo patamar.
As informações acessadas ilegalmente estavam hospedadas no serviço na nuvem MEGA, sob o nome de Collection #1, um conjunto de endereços de e-mail e de senhas totalizando 2,692,818,238 linhas originárias das mais diversas fontes. Troy Hunt, pesquisador especializado em segurança e responsável pela descoberta do vazamento, afirma que a coleção totaliza mais de 12.000 arquivos separados.
O pesquisador foi enfático: "O que eu posso dizer é que dados pessoais meus estão lá e estão corretos, o meu e-mail e a senha que eu usava há anos atrás", ele escreveu. "Em resumo, se você está nesse vazamento, uma senha que você usou anteriormente está flutuando na Internet para ser vista por outras pessoas", disse, acrescentando que algumas dessas senhas, incluindo a dele próprio, foram expostas como texto. Troy Hunt comentou ainda que teve acesso ao vazamento após diversas pessoas o procurarem preocupadas com seus dados na MEGA, com a Collection #1 tendo sido também objeto de discussão em um fórum de hackers.
Para Will LaSala, diretor de Soluções de Segurança da OneSpan, empresa que é líder global em segurança de identidade digital, transações seguras e produtividade para os negócios, "trata-se de um colossal vazamento e todos os impactados devem agir rapidamente para alterar suas senhas, já que as informações expostas podem ser usadas por criminosos em ataques coordenados para causar o máximo de dano através de diversas outras contas".
O especialista destaca ainda que, com os criminosos comercializando esses ativos nos fóruns ilegais, dados deste vazamento podem ser facilmente cruzados com outras camadas de informação para burlar a autenticação. Quanto mais alto o risco, tal como em contas bancárias, maior a ameaça de uma tentativa de fraude.
"Se isso não deixa clara a necessidade de se adotar uma segurança além das senhas de acesso, então não sei mais o que pode ser feito", analisa o especialista, salientando que já deveria ser uma regra clara que o uso de uma combinação de múltiplas tecnologias de autenticação aplicadas em camadas é o melhor procedimento tanto para as empresas como para os usuários. "Os bancos, especialmente, devem evoluir seus procedimentos de autenticação para métodos mais inteligentes de forma a minimizar o risco de fraudes quando da ocorrência de ataques maciços como esse. Essa tecnologia deve combinar múltiplas técnicas de autenticação, seja empregando digitais, biometria comportamental ou senhas de acesso de uso único", conclui LaSala.