Uma pasta armazenada no Mega, serviço que sucedeu o Megaupload, serviu para reunir um dos mais extensos vazamentos da internet. Batizada de Collection #1, ela reunia mais de 1,1 bilhão de combinações de e-mails e senhas.

O material bruto contava com mais de 2,6 bilhões de registros (ou 2.692.818.238). Porém, uma limpeza dos dados permitiu encontrar os 772 milhões de e-mails únicos que formavam exatamente 1.160.253.228 combinações diferentes de e-mails e senhas.

O conteúdo, já removido da plataforma, era divulgado como uma “coleção de mais de 2 mil bancos de dados sem hash”, uma técnica que “disfarça” as senhas verdadeiras. Para facilitar o trabalho de quem a usava, a Collection #1 distribuía as informações por tópicos como e-mail, games e compras.

A informação é do pesquisador de segurança Troy Hunt, que descreveu o vazamento em seu blog, e apontou a existência de 12 mil arquivos que totalizam 87 GB. Segundo ele, as informações presentes na pasta vazaram em momentos distintos, entre 2008 e 2018.

O especialista afirma que percebeu a dimensão do problema a partir da quantidade de pessoas que entraram em contato com ele e de uma publicação em um fórum conhecido. “Em termos de risco que isso representa, mais pessoas com os dados obviamente aumentam a probabilidade de que eles sejam usados para fins maliciosos”, afirma Hunt.

Hunt é o criador do Have I Been Pwned, um serviço que permite pesquisar se um e-mail está em listas de vazamentos. Ele afirma que este foi o maior vazamento já registrado no site e destaca que 140 milhões de e-mails nunca haviam aparecido por lá antes.

A Collection #1 reunia 21,2 milhões de senhas únicas, um número relativamente baixo para a quantidade de e-mails armazenados. Com os e-mails, elas poderiam ser usadas para realizar uma ação conhecida como “credential stuffing”.

“Em outras palavras, as pessoas pegam listas como essas que contêm nossos e-mails e senhas, depois tentam ver onde mais elas funcionam”, explica Hunt. “O sucesso dessa abordagem é baseado no fato de que as pessoas reutilizam as mesmas senhas em vários serviços”.

Como saber se um e-mail estava na Collection #1?

A maneira mais fácil de verificar se o seu e-mail estava em um dos bancos de dados da Collection #1 é fazer uma busca no Have I Been Pwned. O site cadastrou os milhões de e-mails presentes no diretório e pode indicar se você foi uma das pessoas afetadas.

O serviço também oferece o Pwned Passwords, que permite fazer pesquisas pelas senhas que você usa. Assim, é possível saber quantas vezes elas já apareceram em vazamentos conhecidos e ter uma ideia sobre a segurança que elas oferecem.

Caso você tenha encontrado alguma informação atual no site, a decisão mais cautelosa é alterar suas senhas no serviço indicado. Para evitar problemas no futuro com táticas como o “credential stuffing”, a dica é evitar utilizar a mesma senha em mais de uma plataforma.