Com vazamentos de dados acumulando milhões — ou até bilhões — de conjuntos de credenciais (usuários e senhas), hackers procuram encontrar meios para aproveitar essas informações ao máximo. Um desses mecanismos é a técnica de "credential stuffing", que consiste no uso de senhas roubadas em serviços diferentes daqueles em que elas foram obtidas.
Por exemplo, um hacker pode ter uma senha de um usuário no serviço A. Em posse dessa informação, o hacker tenta utilizar essa mesma senha no serviço B. Caso a vítima tenha repetido sua senha, o hacker obterá acesso ao serviço B, mesmo que esse serviço nunca tenha sido atacado até então.
Isso pode soar trabalhoso, mas os hackers utilizam ferramentas que tornam esse processo totalmente automático. O criminoso pode ir dormir enquanto seus sistemas continuam testando milhares ou milhões de senhas em centenas de serviços.
Diversos ataques contra usuários dos softwares TeamViewer, e GoToMyPC relatados em 2016, foram possibilitados por senhas vazadas. Esses são programas de gerenciamento remoto, permitindo que o usuário gerencie seu computador a partir de qualquer outra máquina. Dessa forma, a partir de senhas vazadas (provavelmente do LinkedIn, embora não haja confirmação disso), os hackers obtiveram acesso direto aos computadores das vítimas.
Não é normal que uma senha de rede social dê acesso aos dados pessoais e ao próprio computador de alguém. Porém, a partir de senhas repetidas, hackers podem acumular cada vez mais informações sobre suas vítimas e, às vezes, chegar a dados realmente valiosos.
O que torna o "credential stuffing" um problema grave é que às vezes não é possível lembrar em quais serviços uma determinada senha foi usada. Quem se esqueceu da senha pode nem mais lembrar onde a mesma senha pode ter sido usada. Assim, mesmo que você troque a senha no serviço que foi atacado, outros sites que você nem mais lembra ainda podem estar usando a mesma senha.
Alguns serviços, como o Google e Netflix, passaram a emitir alertas quando detectam uma senha idêntica à usada em sua conta em algum vazamento de dados. Mas são poucos os serviços on-line que adotam essa prática e muitas empresas nem sequer possuem uma equipe de segurança para analisar e processar dados de vazamentos.
Como se proteger? A solução mais óbvia é nunca repetir nenhuma senha. Na prática, considerando o número de senhas que precisamos memorizar, isso é quase o mesmo que obrigar o uso de um gerenciador de senhas,
como o LastPass. Gerenciadores de senhas trazem consigo seus próprios riscos (como as senhas serem roubadas por um vírus diretamente do programa), mas podem ser uma boa alternativa para solucionar o "caos" das senhas. Outra solução é anotar as senhas manualmente.
Porém, mesmo que você decida usar um gerenciador de senhas, isso não ajuda você a saber quais senhas deve trocar. Com tantas credenciais expostas na web, muitas delas sem vínculo claro a serviços específicos, fica difícil saber se alguma senha foi comprometida.
Pior ainda: se você de fato utiliza senhas diferentes para cada serviço, você teria que usar sites de verificação online para testar todas as suas senhas.
A
extensão Password Checkup para o navegador Chrome, criada pelo Google e com a colaboração da Universidade de Stanford, foi pensada para resolver este problema. Uma vez instalada, ela analisa as senhas que você digita na web. Caso algumas delas seja identificada nos vazamentos de dados analisados pelo Google, você recebe um alerta para trocar aquela senha.
Isso significa que você não precisa mais verificar manualmente suas senhas após cada vazamento. Basta instalar a extensão e prosseguir com seu uso normal da web. Caso alguma senha seja vazada, você receberá um alerta assim que utilizá-la para imediatamente fazer a troca.
O
site brasileiro "MinhaSenha" também é mais cômodo que outros serviços do gênero, já que mostra parcialmente as senhas vazadas. Isso ajuda você a determinar mais rapidamente quais das suas senhas podem ter caído na mão dos hackers.
Depois que uma senha foi considerada insegura, ela precisa ser trocada em todos os sites onde foi usada e nunca mais pode ser usada novamente.
Fonte: G1 Globo