Ataque a site de relacionamentos expõe 42 milhões de senhas

Dados foram vazados no começo do ano, mas encontrados apenas agora; senha mais comum era 123456, usada por quase 2 milhões de pessoas

Depois do escândalo envolvendo a Adobe, uma nova coleção de senhas foi exposta na web. As vítimas da vez foram mais de 42 milhões de usuários cadastrados – ativos ou inativos – na rede de encontros Cupid Media, que reúne mais de 30 sites de relacionamento de nicho pelo mundo.

O ataque foi feito no começo do ano, mas os dados só foram encontrados na última terça-feira pelo especialista em segurança Brian Krebs, que denunciou o vazamento. Eles estavam armazenados no mesmo servidor usado pelos hackers para guardar palavras-chave roubadas da Adobe e do site PR Newswire.

Apesar da quantidade enorme de informações vazadas, o que mais assusta no caso da Cupid Media é o fato de que todos os dados estavam disponíveis em texto “plano” (PlainText). Ou seja, ao contrário da Adobe, a empresa aparentemente não se preocupou em proteger os cadastros com qualquer tipo de criptografia.

Além das senhas, os invasores ainda tiveram acesso a nomes completos, endereços de e-mail e datas de nascimento de todos os usuários afetados. A Krebs, a empresa afirmou que notificou todos os donos das contas que tiveram informações roubadas, e deve reenviar os avisos para se certificar. No entanto, como o ataque ainda vitimou usuários inativos, é provável que nem todos os 42 milhões de vitimados recebam o alerta.

Senhas inseguras – O vazamento das informações de usuários da Cupid Media reforçou ainda mais o fato de que as pessoas estão pouco preocupadas com a segurança. Mais de 10% das senhas divulgadas eram combinações simples de números – quase 2 milhões de contas eram “protegidas” por 123456, enquanto 1,1 milhão delas usavam 111111.

Em termos de palavras-chave sem números, a líder em aparições foi “iloveyou”, que guardava quase 100 mil contas. A palavra “password” era usada por mais de 37 mil pessoas, enquanto “aaaaa” foi a escolha de outras 30 mil.

Consequências – Os dados divulgados pelos invasores podem ser de grande valor para spammers, que enviam suas ofertas para bancos de dados gigantescos de e-mails. Para Alex Holden, especialista ouvido por Krebs, o pior disso tudo é que público da Cupid Media pode ser alvo fácil de “spams clássicos” de serviços de encontros, remédios de dieta, entre outros.

Outro grande problema é o uso das mesmas senhas em diversos sites. Ao menos no Reino Unido, mais de 50% dos internautas usa uma palavra-chave igual nas contas do Facebook e de e-mail por exemplo. Ou seja, tendo uma informação em mãos, um invasor poderia acessar tudo que um usuário faz na internet.