Tópicos | senhas

Hoje (4) é comemorado o Dia Mundial da Senha. A necessidade de rever senhas e usar combinações aleatórias, longas e nada óbvias foi mais uma vez comprovada, desta vez pelo uso de inteligência artificial. Em um teste feito por pesquisadores da Home Security Heroes em segurança digital, no mês passado, uma IA foi capaz de quebrar senhas comuns em menos de um minuto, enquanto combinações mais longas levaram semanas para serem obtidas com sucesso. 

O resultado da organização voltada a fomentar melhores práticas de proteção digital entre usuários comuns - é que o uso das senhas complexas é essencial. Isso porque a inteligência artificial utilizada por eles tem uso público e, da mesma forma que pode ser aplicada em um estudo sobre as combinações, também pode ser utilizada com fins mal-intencionados.

##RECOMENDA##

Para realizar o levantamento, os especialistas utilizaram 15,6 milhões de senhas vazadas do RockYou – um widget popular para MySpace e Facebook que vazou os dados de mais de 32 milhões de usuários em 2009. Uma amostra foi introduzida no PassGAN, um gerador de credenciais que funciona a partir de redes adversariais e generativas que, depois, são analisadas contra dados comprometidos em busca de obviedade. 

O volume completo foi reduzido para excluir combinações com menos de quatro caracteres e com mais de 18, de forma a testar a eficácia de modelos mais curtos. O resultado foi mais agressivo do que o esperado. 51% das senhas consideradas comuns, com até dígitos e pouca aleatoriedade, caracteres sequenciais ou o uso de palavras tradicionais, foram quebradas em menos de um minuto. Dois terços do volume, ou seja, 65%, foram descobertas em menos de uma hora, enquanto a inteligência artificial chegou a um total de 71% em menos de um dia e 81% em menos de um mês. Apenas 19% das senhas colocadas na amostra foram consideradas “adequadas”, ou seja, representaram dificuldades para que fossem descobertas pela tecnologia. Como parte do estudo, a organização também divulgou uma ferramenta que permite aos usuários testarem combinações e até mesmo as próprias senhas, para descobrir quanto tempo uma IA levaria para descobrir a combinação. 

Quanto mais complexa, mais anos seriam necessários para a quebra, com a casa dos bilhões sendo considerada aceitável pelos pesquisadores como uma credencial segura. Para evitar que os dados sejam descobertos desta maneira por criminosos, a recomendação da Home Security Heroes é o uso de senhas a partir de 15 caracteres que envolvam letras minúsculas, maiúsculas, números, símbolos e caracteres especiais.

Isso deve ser feito em sites que não exijam tal demanda, enquanto as combinações devem ser únicas para cada serviço, sem repetições. A mudança periódica de senhas também é recomendada nos serviços essenciais como e-mail, redes sociais, sites do governo, bancos e outros serviços financeiros. O uso de um gerenciador de senhas ajuda a manter todas as credenciais acessíveis. 

 

 

A empresa Meta alertou nesta sexta-feira (07) que um milhão de usuários do Facebook baixaram ou utilizaram aplicativos que aparentam ser inofensivos em primeiro momento, mas são criados para roubar sua senha de acesso à rede social.

"Vamos avisar um milhão de pessoas que podem ter sido expostas a esses aplicativos, o que não quer dizer necessariamente que tenham sido hackeadas", disse David Agranovich, diretor da equipe de segurança cibernética da Meta, durante uma entrevista coletiva.

##RECOMENDA##

Empresa matriz do Facebook e Instagram, a Meta mapeou desde o início do ano mais de 400 aplicativos "maldosos". Eles estão disponíveis para smartphones operados com os serviços operacionais da Apple e do Google, o iOS e Android, respectivamente.

"Esses aplicativos estavam presentes na Google Play Store e na App Store da Apple, e se passavam por ferramentas de edição de fotos, jogos, VPN e outros serviços", a companhia especificou em um comunicado.

Uma vez instalados no telefone, esses aplicativos solicitavam aos usuários do Facebook suas credenciais para utilizar os recursos.

"Eles tentaram incentivar o fornecimento de informações confidenciais das pessoas, para permitir que hackers acessassem suas contas", resumiu Agranovich, que avaliou que os desenvolvedores desses aplicativos buscavam outras senhas, não apenas do Facebook.

"O objetivo parecia ser relativamente indiscriminado", destaca ele. Tratava-se de "obter o maior número possível" de senhas.

A empresa declarou ter compartilhado suas descobertas com a Apple e o Google.

A Apple não respondeu às solicitações da AFP, já o Google afirmou ter retirado da Play Store maioria dos aplicativos pontuados pela Meta.

"Nenhum dos aplicativos identificados no relatório estão disponíveis na Google Play", escreveu um porta-voz do Google à AFP.

Mais de 40% dos aplicativos indicados serviam para edição de fotos. Outros eram simples ferramentas, como transformar seu celular em uma lanterna, por exemplo.

Agranovich recomendou que os usuários sejam cuidadosos quando um aplicativo pedir senhas sem nenhuma razão válida ou fizer promessa "boa demais para ser verdade".

A Polícia Civil da Paraíba desarticulou, nesta terça-feira (26), uma associação criminosa especializada em desativar senhas de cursos on-line pagos para vender os conteúdos das aulas. De acordo com as investigações, os acusados comercializavam as qualificações por apenas 10% do valor real dos cursos.

O Grupo Tático Especial, no âmbito da Operação Confectium, cumpriu mandados de busca e apreensão contra os suspeitos na cidade de Soledade, na Paraíba. Segundo a Política Civil, o grupo usava aplicativos sofisticados capazes de “quebrar” as senhas de acesso dos cursos; em seguida, os suspeitos faziam o download dos módulos e negociavam o material.

##RECOMENDA##

“A maioria das empresas vítimas desse estelionato é do ramo de confeitaria. Já temos conhecimento de que empresas do Distrito Federal, Rio de Janeiro, Tocantins e Pernambuco foram alvos dessa organização criminosa, que está sendo investigada”, revelou o delegado seccional Cristiano Santana, conforme informações da assessoria de imprensa da Polícia Civil da Paraíba.

Comprovantes bancários de transferência e depósitos foram apreendidos pelos agentes. A operação também apreendeu arquivos de mídia que serão levados a perícias.

A liberdade do compartilhamento de senhas do serviço de streaming Netflix pode estar com os dias contados. A plataforma está testando um novo recurso para acabar com a prática segundo um comunicado emitido por um porta-voz da empresa.

"Este teste foi desenvolvido para ajudar a garantir que as pessoas que usam contas da Netflix sejam autorizadas a fazê-lo", diz o comunicado.

##RECOMENDA##

É bom lembrar que os termos de serviço da streaming – que pouca gente lê ao assinar - dizem que as contas "não podem ser compartilhadas com indivíduos fora de sua casa".

Como funcionaria?

Segundo a CNN, quando um usuário selecionar seu perfil em uma conta compartilhada da Netflix, um pop-up vai solicitar que ele verifique a conta, com código ou texto que seria enviado por e-mail ao titular da conta.

Não entre em pânico

O usuário deve estar preparado para a mudança, mas não é uma coisa que deve acontecer agora. Ainda de acordo com a CNN, a ferramenta está em testes e deve ser aplicado para alguns poucos usuários. Não há data prevista para a ‘atualização’ chegar ao Brasil.

Mais de 10 milhões de senhas de e-mails de brasileiros foram expostas na internet em um vazamento global de 3,2 bilhões ocorrido no começo de fevereiro. Entre as credenciais brasileiras estão mais de 70 mil senhas da administração pública, como de e-mails da Câmara dos Deputados, do Supremo Tribunal Federal (STF) e da Petrobrás. Os números foram obtidos após análise exclusiva para o jornal O Estado de S. Paulo feita pela empresa de cibersegurança Syhunt.

O vazamento ocorreu no começo de fevereiro e traz 3,28 bilhões de senhas para cerca de 2,18 bilhões de endereços únicos de e-mail. O arquivo de 100 GB foi publicado no mesmo fórum onde, em janeiro, hackers colocaram à venda bases de dados que comprometeram 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos.

##RECOMENDA##

Ao contrário do megavazamento de janeiro, no qual as informações de brasileiros estavam à venda, o vazamento de senhas foi disponibilizado integralmente de forma gratuita - qualquer pessoa pode baixar.

Entre as informações de brasileiros, existem pelo menos 10 milhões de senhas. Esse é o número de credenciais referente apenas a e-mails do domínio ".br" - cerca de 26 milhões de domínios em todo o mundo foram afetados. Isso significa que o número de brasileiros atingidos pode ser maior. A análise não incluiu serviços de e-mail muito populares por aqui, como Gmail e Hotmail, pois eles estão no domínio ".com".

Embora o vazamento de janeiro tenha muito mais informações sobre brasileiros, o novo vazamento também traz riscos importantes para a segurança digital. "No vazamento de janeiro, havia milhões de e-mails. Essas informações podem ser cruzadas com a base de senhas e permitir acesso dos criminosos", diz Felipe Daragon, fundador da Syhunt. No megavazamento de janeiro, o criminoso colocou à venda e-mails de 77,8 milhões de pessoas e de 15,8 milhões de empresas.

Além disso, diversos e-mails tiveram mais de uma senha vazada, o que permite identificar o padrão de criação de senhas. Mais ainda: com esse padrão em mãos, é possível até mesmo tentar prever futuras novas senhas criadas para os endereços. No vazamento, muitos endereços tiveram entre três e 30 senhas associadas a eles.

Administração pública

O vazamento afetou milhares de senhas da administração pública. No total, 68.535 senhas de e-mails no domínio "gov.br", usado pela administração pública, foram afetadas. Outras 4.589 senhas do domínio "jus.br" foram disponibilizadas, o que inclui senhas do STF. A reportagem encontrou pelo menos um e-mail diretamente ligado ao gabinete do ministro Dias Toffoli. Foram encontradas 98 senhas do domínio "stf.jus.br".

Além disso, 218 senhas do domínio "camara.leg.br" estão listadas. Nessa base é possível encontrar o e-mail que o presidente Jair Bolsonaro (sem partido) usava quando era deputado federal - é uma indicação de que a compilação reúne dados de vários anos diferentes. Além disso, e-mails de mais deputados aparecem na base "camara.gov.br". Nela, há 985 senhas, incluindo nomes que não estão mais em Brasília, como o do ex-deputado Jean Wyllys.

Já o domínio "senado.gov.br" tem 547 senhas vazadas. Endereços ligados à presidência da república também aparecem. O domínio "presidencia.gov.br" teve 28 senhas vazadas.

Entre os duzentos domínios "gov.br" mais afetados aparecem senhas de e-mails da Receita Federal, da Advocacia Geral da União, da Anvisa, da Caixa, do Butantan, da Funai, do IBGE, da Infraero, do Inpi, do INSS e da Polícia Militar em diversos Estados, incluindo São Paulo e Paraná.

A reportagem também encontrou no vazamento 8.863 senhas ligadas à Petrobrás - nenhum endereço, porém, está ligado a presidentes que passaram pelo comando da empresa. Foi possível encontrar também um endereço possivelmente ligado ao ministro da Economia, Paulo Guedes, da época em que estava na BR Investimentos.

Daragon, porém, faz um alerta: "As senhas 'gov.br' não significam que os sistemas da administração pública tenham sido invadidos. Esses endereços e senhas parecem ter sido utilizados em serviços na internet que foram comprometidos".

As informações são do jornal O Estado de S. Paulo.

Mais de 3,2 bilhões de credenciais de acesso a serviços e até mesmo redes sociais, está sendo divulgado de forma gratuita em alguns fóruns internacionais de hacking. Chamado “Compilação de Várias Brechas”, ou COMB (sigla em inglês), o vazamento de dados reúne logins e senhas de plataformas como Netflix, LinkedIn, Bitcoin e dezenas de outras, disponibilizadas em texto simples, assim como scripts.

Ainda não é possível saber quantos usuários foram atingidos, mas a suspeita é que milhões de pessoas estejam com seus dados disponíveis na internet. Por serem disponibilizados de forma individual um mesmo usuário pode ter o login de mais de um serviço comprometido.

##RECOMENDA##

Em uma pequena amostra disponibilizada pelos especialistas do CyberNews, é possível ver  endereços e nomes de usuário brasileiros, entre os dados vazados. De acordo com o site, o novo vazamento ultrapassa o maior banco de dados vazados registrado na história. Em 2017, uma lista que ficou conhecida como “Compilação de Brechas”, reuniu 1,4 bilhão de credenciais obtidas a partir de comprometimentos em plataformas como LinkedIn, Minecraft, Netflix, Badoo, entre outras. 

Milhões de usuários do aplicativo de fotos Instagram - e não apenas dezenas de milhares - tiveram suas senhas armazenadas em servidores internos em formato não criptografado, informou a rede social Facebook nesta quinta-feira, que revisou suas estimativas anteriores.

"Encontramos novas senhas do Instagram armazenadas em formato legível, e hoje estimamos que o problema tenha afetado milhões de usuários do Instagram", disse o Facebook em uma atualização de seu blog publicado em 21 de março.

##RECOMENDA##

A empresa-mãe do Instagram revelou que as senhas de centenas de milhões de usuários haviam sido armazenadas em servidores internos de forma não criptografada, alegando que não havia violações de segurança, antes de assegurar que os problemas técnicos haviam sido resolvidos.

Também observou que o problema afetou "centenas de milhões de usuários do Facebook Lite", uma versão simplificada do site para conexões de Internet de baixa qualidade, "dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuáriosdo Instagram".

O grupo, que afirma ter 2,3 bilhões de usuários ativos em todo o mundo, também confirmou nesta quinta que nenhum uso mal-intencionado dessas senhas foi identificado.

Há mais de dois anos, o grupo tem lidado com repetidas controvérsias, desde a manipulação da rede para fins políticos por países ao gerenciamento dos dados dos usuários, que formam a base de seu modelo de negócios.

Pesquisadores da empresa de segurança UpGuard encontraram dados de 540 milhões de usuários do Facebook armazenados em servidores abertos, que não exigiam senha de acesso, o que permitia que qualquer pessoa pudesse acessar as informações.

Os dados vazados foram obtidos por dois desenvolvedores de apps terceiros que operavam dentro do Facebook, a empresa mexicana de mídia digital Cultural Colectiva e o estúdio de games At The Pool. As informações estavam armazenadas em servidores da Amazon.

##RECOMENDA##

Com 146 Gigabyte de armazenamento, o pacote da Cultural Colectiva incluia comentários, curtidas, reações e nomes de usuários. Na pasta da At The Pool era menor, com apenas 22 mil usuários, mas era mais detalhado. Nele, estavam lista de amigos, interesses, fotos, check-ins e grupos.

Em nota, a rede social disse que "as políticas do Facebook proíbem o armazenamento de dados em um banco de dados público". A companhia também fez um pedido à Amazon para tirar do ar as informações.

Os pesquisadores da UpGuard tentaram contato com a Cultural Colectiva por duas vezes em janeiro, mas não tiveram resposta. Os dados só saíram do ar nesta quarta, 3, depois da agência de notícias Bloomberg pedir um comentário ao Facebook, que, em seguida, acionou a Amazon, que ocultou as informações.

O Facebook diz ainda que não há indícios de que os dados tenham sido usados.

O caso de soma à pilha de situações similares ocorridas no último ano. Em março de 2018, ocorreu o caso Cambridge Analytica, no qual os dados de 87 milhões de pessoas foram usados indevidamentes pela firma de marketing político. os dados foram obtidos por um app de terceiros, o thisismydigitalife. Em setembro de 2018, uma brecha expôs os dados de 50 milhões de usuários.

No último mês de março, surgiu a informação de que o Facebook expôs os dados entre 200 milhões e 600 milhões de usuários para os próprios funcionários, ao armazená-los sem criptografia.

É um dos maiores incidentes de privacidade de que se tem notícia. Em 2013, informações como nome e senha de 3 bilhões de usuários Yahoo! foram expostos depois de uma falha de segurança. Em dezembro de 2018, a rede de hotéis Marriot confirmou que os dados de 383 milhões de clientes foram roubados.

O vice-presidente de engenharia, segurança e privacidade do Facebook, Pedro Canahuati, informou na tarde desta quinta-feira, 21, que, em janeiro, a companhia descobriu que senhas de milhões de usuários foram armazenadas em "formato legível" no sistema interno de armazenamento de dados da empresa, tendo em vista que o sistema é projetado "para sempre mascarar as senhas, usando técnicas que as tornam ilegíveis". Canahuati afirmou, ainda, que a questão foi resolvida, mas enfatizou que, por precaução, os usuários que tiveram o armazenamento da senha alterado serão notificados.

"Essas senhas nunca estiveram visíveis para pessoas de fora do Facebook e não encontramos nenhuma evidência de que alguém internamente violou ou acessou indevidamente essas contas", disse o executivo. De acordo com ele, a estimativa da companhia é de que serão notificados centenas de milhões de usuários do Facebook Lite, dezenas de milhões de usuários do Facebook e dezenas de milhares de usuários do Instagram.

##RECOMENDA##

A opção do Facebook que permitirá aos usuários apagarem todos os seus dados será lançada este ano, meses depois de ter sido anunciada pela rede social.

David Wehner, chefe financeiro do Facebook, disse nesta terça-feira em uma conferência tecnológica do banco Morgan Stanley que a companhia está planejando apresentar a ferramenta, anunciada em maio do ano passado em meio aos escândalos pelo uso indevido de informações de seus usuários.

##RECOMENDA##

Wehner não mencionou nenhuma data específica, mas apontou que a opção "apagar histórico" estará disponível "mais adiante este ano".

Essa ferramenta anunciada no ano passado permitirá aos usuários verem a quais aplicativos e sites a rede social está enviando informações, apagar dados de sua conta e impedir que o Facebook os armazene.

Wehner advertiu que se os usuários optarem por apagar seus dados, essa decisão afetará os esforços da rede social para prosseguir com a publicidade direcionada.

"Acredito que seria como um vento contrário em relação à capacidade de ter um direcionamento tão eficaz como antes", apontou.

"Mas além disso, acredito que fomos capazes de administrar isso relativamente bem até agora. (...) Diria que sem dúvida está mudando a paisagem e que a direção que está tomando faz com que seja mais exigente crescer e dá menos visibilidade a como se desenvolverá na realidade".

No começo do mês, o pesquisador de segurança Troy Hunt revelou que um vazamento, batizado de Collection #1, tinha exposto os e-mails de 773 milhões de pessoas e mais de 21 milhões de senhas. Em seguida, o pesquisador de segurança da informação Brian Krebs informou que existiam outros pacotes de credenciais, o Collection #2 até o Collection #5, que tinham até dez vezes o tamanho do vazamento original. Agora, diferentes pesquisadores de segurança da informação tiveram acesso e analisaram esses últimos quatro pacotes de dados. A conclusão é de que eles abrigam os nomes de usuários e senhas de 2,2 bilhões contas únicas, quase três vezes mais do que o primeiro pacote.

"Essa é a maior coleção de credenciais que já vimos", disse à revista Wired Chris Rouland, pesquisador de cibersegurança da empresa Phosphorus.io. Boa parte desses arquivos é velha, composta por material de outros vazamentos, como do Yahoo, LinkedIn e Dropbox. Esses dados já vinham circulando na internet em fóruns e programas de torrent - apenas uma fração seria inédita. Ainda assim, o Hasso Plattner Institute, na Alemanha, afirmou que 750 milhões das credenciais não faziam parte do seu catálogo de informações vazadas. Já Rouland 611 milhões de credenciais não faziam parte da Collection #1 - é comum que em grandes compilações de dados exista informação duplicada.

##RECOMENDA##

Os pesquisadores também chamam a atenção para a livre circulação do material na internet. É comum que vazamentos inéditos sejam vendidos por valores altos na rede e percam valor conforme envelhecem, dando tempo para que seus proprietários ou empresas tomem ações para combater invasões. Segundo os pesquisadores, a fácil disponibilidade indica que as credenciais perderam apelo, mas não significa que não possam ser úteis para hackers menos habilidosos, que ainda podem tentar descobrir se as senhas e logins funcionam.

Rouland não revelou quais companhias foram afetadas pelo vazamento, mas disse estar tentando contato com elas e que também está aberto a conversar com representantes de empresas que acreditam terem sido afetadas.

Troy Hunt publicou em seu site - haveibeenpwned.com - uma ferramenta em que usuários podem checar se foram afetados pelo vazamento Collection # 1. O recurso também mostra se um e-mail já foi afetado em outras falhas de segurança, como a da rede social Myspace ou a do serviço de música Last.fm. A recomendação dos especialistas é que as pessoas troquem as senhas das contas caso elas estejam listadas na ferramenta de Hunt. Os pesquisadores da Plattner Institute em Potsdam criaram uma outra ferramenta para que usuários descubram se fazem parte do segundo pacote em diante.

Um relatório divulgado pela empresa SplashData revelou que a palavra "password" e os números "123456" são novamente as senhas mais usadas pelos internautas em 2018. Depois de avaliar mais de 5 milhões de senhas vazadas na internet, a empresa descobriu que os usuários de computador continuam usando as mesmas combinações previsíveis e fáceis de adivinhar para proteger suas informações online.

Além de favoritos perenes, como "1234567" e "12345678", a lista de senhas desaconselhadas para 2018 inclui pela primeira vez a palavra "donald" - uma referência ao presidente dos EUA, Donald Trump. A empresa estima que quase 10% dos internautas tenham usado pelo menos uma das piores 25 senhas da lista.

##RECOMENDA##

"Hackers têm grande sucesso usando nomes de celebridades, termos da cultura pop e esportes, e padrões simples de teclado para invadir contas online porque sabem que muitas pessoas estão usando essas combinações fáceis de lembrar", disse o executivo-chefe da SplashData, Morgan Slain.

As pessoas que usam essas senhas se colocam sob risco substancial de serem hackeadas e terem suas identidades roubadas, disse a empresa. A SplashData informou que lança sua lista anual para encorajar as pessoas a definir senhas mais fortes.

A empresa recomenda que as pessoas usem senhas de 12 caracteres mistos (entre letras e números), configurem combinações únicas diferentes para as várias contas que exigem um login e façam uso de uma ferramenta de gerenciamento de senhas.

Confira a lista das 25 piores senhas de 2018:

1- 123456

2 - password

3  - 123456789

4 - 12345678

5 - 12345

6 - 111111

7 - 1234567

8 - sunshine

9 - qwerty

10 - iloveyou

11 - princess

12 - admin

13 - welcome

14 - 666666

15 -abc123

16 - football

17 - 123123

18 - monkey

19 - 654321

20 - !@#$%^&*

21 - charlie

22 - aa123456

23 - donald

24 - password1

25 - qwerty123

LeiaJá também

--> Brinde da Coca-Cola que circula no WhatsApp é golpe

A empresa de segurança digital ESET emitiu um alerta sobre uma versão maliciosa da extensão do serviço de armazenamento em nuvem MEGA, popular por oferecer até 50 GB grátis. A ameaça pode capturar nomes de usuários e senhas que são usados para acesso a contas de plataformas como o Google, Live.com, Amazon, Microsoft e Github.

A empresa MEGA informou que uma versão falsa da extensão 3.39.4 com vírus foi lançada em 4 de setembro na Chrome Web Store, loja oficial do navegador do Google. Embora já tenha sido removida, recomenda-se a todos aqueles que baixaram a excluir a ferramenta maliciosa e baixar a sua versão legítima.

##RECOMENDA##

A descoberta foi feita pelo pesquisador de segurança SerHack, que assegurou que mais de um milhão e meio de usuários foram afetados. Uma vez instalada, a extensão falsa solicita permissões elevadas, que a verdadeira nunca pediria.

Se concedidas, o invasor é capaz de monitorar e roubar as senhas usadas para acessar as contas dos diferentes serviços e também as carteiras de criptomoeda, já que todas as informações são enviadas para um servidor hospedado na Ucrânia.

"A ESET recomenda para quem instalou a extensão, eliminá-la imediatamente e modificar os códigos de acesso, especialmente de programas e serviços em que há informações sobre contas bancárias", diz o chefe do Laboratório da ESET América Latina, Camilo Gutierrez.

LeiaJá também

--> Ataque hacker à British Airways afeta milhares de clientes

Entusiastas de profissionais de aviação foram orientados a alterar suas senhas depois que o site de rastreamento de voos Flightradar24 avisou que sofreu uma violação de dados. O serviço gratuito oferece, em tempo real, a localização de aeronaves comerciais em trânsito em todo o mundo.  

Apesar de ser gratuito, o site tem uma versão paga. Os assinantes têm acesso a mais dados históricos ou a um pacote de serviços destinado a profissionais de aviação. Alguns destes usuários receberam e-mails que alertam sobre a violação de dados.

##RECOMENDA##

"Identificamos uma violação de segurança que pode ter comprometido os endereços de e-mail e senhas com hash para um pequeno subconjunto de usuários do Flightradar24 (aqueles que se registraram antes de 16 de março de 2016)", informa o alerta.

A mensagem oferece ainda um link para que os usuários possam redefinir as senhas. Segundo a empresa, a violação de segurança limitou-se a um servidor e foi prontamente encerrada assim que a tentativa de intrusão foi confirmada.

LeiaJá também

--> Sensor evita que motorista bêbado dê partida no carro

Em breve, você não precisará mais decorar senhas difíceis para cada website ou serviço usado na internet. Isso porque foi criado um novo padrão de autenticação projetado para substituir o uso dessas combinações por dados biométricos em dispositivos que os usuários já possuem. As informações são do jornal britânico The Guardian.

Em vez de ter que se lembrar de uma série de caracteres cada vez mais longa, os usuários podem autenticar seu login com seu corpo ou algo que possuam, comunicando-se diretamente com o site via Bluetooth, USB ou NFC. O novo padrão é chamado WebAuthn.

##RECOMENDA##

Um exemplo de como o WebAuthn funcionará é que, quando um usuário visitar um site no qual ele deseja fazer login, ele insere um nome de usuário e, em seguida, recebe um alerta no smartphone. Depois, ele só precisa tocar na mensagem em seu telefone para acessar o serviço sem a necessidade de uma senha.

O WebAuthn promete proteger os usuários contra ataques de phishing, pois não haverá nada para os hackers roubarem. O token de autenticação é gerado e usado apenas uma vez por cada dispositivo específico. Além disso, o novo padrão deve ajudar as pessoas a usar detalhes de login exclusivos para cada serviço usado.

O órgão responsável por controlar os padrões da web disse que o Google, a Microsoft e a Mozilla se comprometeram a oferecer suporte ao WebAuthn, o que significa que todos os principais navegadores da internet, com exceção do Safari da Apple, implementarão a novidade. O WebAuthn, porém, é o resultado de muitos anos de trabalho e a mudança não acontecerá da noite para o dia.

LeiaJá também

--> YouTube é acusado de coletar ilegalmente dados de crianças

Hackers começaram a voltar sua artilharia contra os Jogos Olímpicos de Inverno de Pyeongchang, por meio de e-mails infectados com software malicioso que pode estar dirigido ao roubo de senhas e informações financeiras, alertaram pesquisadores neste sábado (6). A empresa de segurança McAfee adverte em um relatório que organizações associadas aos Jogos Olímpicos receberam e-mails infectados com o objetivo principal de atacar grupos ligados ao hóquei no gelo.

"A maioria dessas organizações afetadas tinha uma certa associação com os Jogos Olímpicos, seja na provisão de infraestrutura ou no papel de apoio", assinala o relatório da McAfee. "Os hackers parecem querer montar uma ampla rede com esta campanha."

##RECOMENDA##

Em 22 de dezembro, e-mails foram simulados para parecerem ter como origem o Centro Nacional de Luta contra o Terrorismo da Coreia do Sul, que realiza exercícios antiterroristas antes dos Jogos.

Segundo a McAfee, os e-mails tiveram origem em um endereço de Cingapura, e enviavam aos destinatários um documento escrito em coreano com instruções para abri-lo. O software malicioso foi escondido, em alguns casos, no texto, e, mais tarde, em uma imagem, uma técnica conhecida como esteganografia, segundo a McAfee. A empresa disse esperar novos ataques deste tipo com a aproximação dos Jogos, reverberando advertências lançadas neste sentido no ano passado por pesquisadores da Universidade da Califórnia.

A empresa SplashData divulga anualmente uma lista das piores senhas usadas na internet. No estudo realizado em 2017, foram analisadas 5 milhões de chaves de segurança vazadas por hackers ao longo do ano. O resultado mostra que os internautas ainda não sabem escolher as suas senhas de forma segura e optam pelo óbvio na hora de proteger contas de e-mail, redes sociais e outros serviços.

A lista, liderada pela senha "123456", tem outras sequências numéricas óbvias bem rankeadas, como "12345678" no 3º lugar, e "12345" na 5ª colocação. Logo em seguida aparecem as chaves de segurança "password", "qwerty" "letmtin" e "iloveyou", na 6ª, 7ª, 8ª e 9ª posição, respectivamente.

##RECOMENDA##

Este ano a senha "starwars", estreia mais aguardada para o cinema este ano, também entrou na lista, ocupando o 16º lugar. Segundo a empresa SplashData, esse tipo de comportamento óbvio na internet facilita o trabalho de criminosos virtuais.  

"Os hackers estão usandos termos comuns da cultura pop e de esportes para invadir contas porque eles sabem que muitas pessoas costumam usar essas palavras fáceis de lembrar", informou o CEO da SplashData, Morgan Slain, em comunicado.

Confira a lista completa das piores senhas de 2017:

- 123456

- password 

- 12345678

- qwerty

- 12345

- 123456789

- letmein

- 1234567

- football

- iloveyou

- admin

- welcome

- monkey

- login

- abc123

- starwars

- 123123

- dragon

- passw0rd

- master

- hello

- freedom

- whatever

- qazwsx

- trustno1

Os especialistas em tecnologia da empresa AO.com revelaram as dez senhas mais utilizadas no Reino Unido desde o último ano, incluindo "qwerty" e "123123". Essas combinações, segundo a empresa, levariam apenas um segundo para serem desmanteladas por um hacker.

Enquanto algumas pessoas pensam que estão seguras ao escolher uma palavra memorável, como o nome de um parceiro, para incluir na senha, outras acreditam que usar o apelido de um animal de estimação é uma forma de se manterem à salvo de ciberataques.

##RECOMENDA##

Informações como a data de nascimento, nome da rua em que alguém cresceu, ou algo que facilmente pode ser deduzido em redes sociais também representa um perigo quando o assunto é senha segura, indicam os especialistas.

No entanto, existe uma maneira de criar uma senha infalível, que custaria a um hacker até quatro trilhões de anos para desvendar. Os especialistas recomendam a escolha de uma combinação composta por três palavras aleatórias e não relacionadas.

Adicionar um número e um símbolo significa que sua senha é segura para a eternidade - ou pelo menos por quatro trilhões de anos. Especialistas também aconselham que, embora possa ser um processo trabalhoso, é importante usar combinações diferentes para suas contas importantes, como e-mail e banco online.

Confira o ranking das piores senhas:

-123456                   

-123456789            

-qwerty                   

-12345678              

-111111                       

-1234567890

-1234567

-password

-123123

-987654321

Desenvolvido por um especialista em segurança virtual, o site Have I Been Pwned informa aos usuários se alguma senha já vazou na internet por causa de algum ataque hacker. 

O objetivo do recurso é informar aos usuários que estão configurando uma nova conta online se a senha já vazou em algum dos ataques. O próprio site, no entanto, recomenda que os usuários não verifiquem senhas que sejam utilizadas ativamente, por uma questão de segurança. 

##RECOMENDA##

O site conta com um banco de dados com mais de 300 milhões de credenciais publicadas que o criador da ferramenta teve acesso. A página dispõe de uma única caixa de texto, que deve ser preenchida com a senha. Caso ela já tenha sido vazada, o site mostra um alera vermelho afirmando que ela não deve mais ser utilizada. Se não, o alerta no site será verde, mostrando que nunca caiu na internet por um ataque.

LeiaJá também: 

--> Hacker que parou ciberataque mundial é preso pelo FBI

--> Hackers invadem sistema de um dos maiores bancos da Itália

--> Episódios de Game Of Thrones são hackeados

--> Golpe por e-mail tenta roubar dados de usuários da Netflix

Algumas senhas podem ser realmente difíceis de memorizar - mas a Microsoft acha que tem uma maneira de acabar com elas. A gigante americana de tecnologia anunciou uma forma alternativa para que os usuários possam acessar suas contas, usando apenas um aplicativo em seus smartphones.

Em vez de memorizar uma senha longa e complexa, o usuário apenas integra sua conta ao Microsoft Authenticator. Ao tentar fazer login em algum serviço, o aplicativo envia uma notificação para o smartphone, pedindo que ele aperte um botão para começar a usar seu e-mail do Hotmail ou conta do Skype, por exemplo.

##RECOMENDA##

Segundo a Microsoft, o telefone faz o trabalho de proteger a conta sem senha para que o cérebro do usuário não precise memorizar nenhuma combinação de letras ou números. Mas o serviço também possui limitações.

Para usá-lo, é preciso ter acesso imediato ao telefone com o aplicativo instalado, caso contrário ainda é necessário memorizar as senhas. Enquanto isso, outras empresas estão trabalhando em tecnologias para substituir o uso destes códigos.

A MasterCard, por exemplo, anunciou que vai começar a testar um cartão de crédito que substitui a senha numérica por biometria para autenticar pagamentos. O smartphone Galaxy S8, da Samsung, pode ser desbloqueado tanto pelo leitor de impressões digitais quanto através do scanner de íris.

LeiaJá também

--> MasterCard lança cartão que substitui senha por biometria

Páginas

Leianas redes sociaisAcompanhe-nos!

Facebook

Carregando