A revista Sábado afirmou na sua edição desta semana que “nos últimos anos, piratas informáticos roubaram milhões de dados em Portugal“, considerando-a como “a maior fuga de informação pessoal” no país.

Na realidade, os dados não foram roubados em Portugal mas de utilizadores portugueses em vários sites internacionais e constam de duas listas conhecidas desde há um ano por “Exploit.in” e “Anti Public”.

Aparentemente, a direcção do Combate ao Crime Informático da Polícia Judiciária (PJ) só agora soube da existência dessas listas e também só agora “foi iniciada uma investigação“, apesar de um director nacional adjunto da PJ afirmar que o caso “não é recente e a informação já circula há algum tempo“.

De forma tranquilizadora, e apesar de nessas listas constarem endereços de email e passwords de organizações militares, Pina Monteiro, Chefe do Estado-Maior General das Força Armadas, declarou: “não temos problemas com isso“.

O Público confirmou que “alguns” dos 144 registos relativos ao jornal “constam nas listas citadas“., enquanto o Ministério da Presidência e da Modernização Administrativa revelou que, “pelo que foi apurado, as credenciais associadas aos endereços de email são antigas ou não são sequer credenciais de acesso à caixa de correio electrónico, o que indicia que terão sido apenas utilizadas para registo em sites de eventos, redes sociais ou outros”.

Em resumo, a preocupação com estas listas devia ser mínima. Ao fim de mais de um ano após a sua divulgação inicial, se passwords ligadas ao endereço de email continuam activas apenas se demonstra a falta de cultura de segurança informática em muitas organizações públicas e privadas nacionais. Mas igualmente preocupante é o uso de endereços oficiais e profissionais para registo em redes sociais.

Como se chegou aqui?
As duas listas andam a ser vendidas online desde 2016 mas um dos primeiros alertas públicos só surgiu do investigador de segurança Troy Hunt a 5 de Maio passado. Ele disse ter colocado mais de mil milhões de registos no seu site have i been pwned?, que conta actualmente com mais de 4,8 milhões de contas atacadas e onde se pode validar se endereços de email ou domínios têm as credenciais de segurança divulgadas em público.

Citando Hunt, só quatro dias depois é que a entidade de segurança informática (CERT) da Nova Zelândia emitiu um alerta, que é agora referido no trabalho da Sábado. Depois disso, não houve mais qualquer aviso daquele CERT sobre estas listas.

No mês seguinte, um anónimo divulgou 100 endereços do Hotmail como prova de ter 592 milhões de contas da lista Exploit.In. Esta volta a surgir pouco depois numa lista de bases de dados atacadas e que já engloba as quase 458 milhões de contas da Anti Public Combo List, as 359 milhões de contas roubadas no MySpace, os 339 milhões de registos do AdultFriendFinder ou os 164 milhões no LinkedIn.

A necessidade de se proteger
Chegados a 9 de Dezembro, Julio Casal escreve como a sua empresa de gestão de identidades online 4iQ “descobriu um único ficheiro com uma base de dados de 1.400 milhões de credenciais” não cifradas – a “maior encontrada na dark web até agora“.

Comparada com as listas Exploit.in e Anti Public, esta acrescenta 318 milhões de utilizadores únicos aos 845 milhões dessas listas e mais 147 milhões de novas passwords, com ataques ocorridos pelo menos desde Agosto.

A novidade foi divulgada pouco depois por meios como a Forbes, o The Hacker News ou a Newsweek.

No seu blogue, a 4iQ desceu ligeiramente a descoberta das novas passwords para 143 milhões.

Finalmente, a 18 de Dezembro e perante estas descobertas, a empresa emitiu um comunicado a reforçar a necessidade da gestão das passwords e de normas para evitar o acesso ilegal às contas dos utilizadores e da protecção das identidades online.

Julio Casal é co-fundador e responsável técnico (CTO) da 4iQ e também co-fundador da AlienVault, uma empresa de “Unified Security Management”.