Você pode confiar que eu fui Pwned?
Se você está pesquisando os perigos das violações de dados, pode ter encontrado um site chamado Have I Been Pwned (ou HIBP). A premissa do site é simples. Em troca de seu endereço de e-mail, número de telefone, nome de usuário ou até mesmo senha, Have I Been Pwned irá dizer se algum deles já foi publicado online.
Obviamente, se você está preocupado com o fato de as pessoas roubarem seus dados, a ideia de fornecer esses detalhes para um site incomum pode não parecer a melhor opção.
Então, o que exatamente é Have I Been Pwned e, mais importante, você pode confiar?
O que é que eu fui Pwned (HIBP)?
Have I Been Pwned é um site popular que em 2019 tinha mais de 2 milhões de assinantes.
É uma boa ideia ser cauteloso sobre a quem você fornece seus dados, mas este site foi projetado para ajudá-lo a evitar problemas e não os causar.
Have I Been Pwned foi originalmente criado em 2013 por um pesquisador de segurança chamado Troy Hunt. De acordo com Hunt, ele criou o site em resposta à violação de dados na Adobe Systems, que afetou 32 milhões de pessoas.
Ele afirma que, no momento do ataque, era fácil para os hackers baixarem grandes lotes de detalhes de contas roubadas. Mas era muito difícil para a pessoa comum descobrir se seus detalhes estavam incluídos.
Quando o site foi lançado, ele tinha apenas os registros de cinco violações de segurança. O Have I Been Pwned agora tem centenas de violações registradas e a pessoa média pode descobrir se elas foram incluídas em segundos.
Se você ainda está preocupado com as intenções de Have I Been Pwned, também é importante notar que planos foram anunciados recentemente para tornar o código-fonte aberto de todo o sistema.
Por que é chamado de ter sido Pwned?
Se o nome não inspira confiança automaticamente, é porque é derivado de um termo usado por hackers.
Em hacking, o termo "pwn" significa comprometer ou assumir o controle de outro computador ou aplicativo.
O logotipo também inclui o texto '; – e isso se refere ao SQL Injection, que é um método popular para iniciar uma violação de dados.
Onde é que fui Pwned para obter suas informações?
Quando os detalhes da conta são roubados em massa, geralmente são publicados online para que qualquer pessoa possa fazer o download.
Devido à reputação do site, também houve inúmeras ocasiões em que fontes anônimas entraram em contato com Hunt para contribuir.
Manter o site atualizado é, portanto, apenas uma questão de adicionar os despejos de dados conforme eles acontecem.
Provavelmente, o recurso mais impressionante do site é o Monitor de despejo. Este é um bot do Twitter que monitora as pastas do Pastebin para possíveis despejos de dados. Quando encontra um, todos os detalhes da conta são adicionados em tempo real.
A maioria dos despejos de dados não é comentada imediatamente. Portanto, se seus dados forem roubados, é provável que sejam adicionados ao banco de dados antes mesmo de você ouvir que foram roubados.
O site provavelmente será ainda mais rápido no futuro, pois eles anunciaram recentemente que estavam trabalhando com o FBI . Segundo o acordo proposto, espera-se que o FBI alimente as senhas comprometidas diretamente no banco de dados assim que forem encontradas.
O FBI é obviamente responsável por investigar todos os tipos de criminosos, então é provável que eles tenham acesso a senhas que ninguém mais teria.
Uma empresa não me contaria se meus dados fossem roubados?
Se uma empresa sofrer uma violação de dados, o curso de ação correto é entrar em contato com todas as pessoas que possam ter sido afetadas. Infelizmente, isso nem sempre acontece.
Às vezes, não é prático entrar em contato com todos. Por exemplo, as pessoas podem se inscrever em um serviço e alterar seu endereço de e-mail. Outras vezes, as violações de dados não são tornadas públicas porque podem prejudicar a imagem de uma empresa.
Em 2015, Hunt foi contatado por uma fonte anônima que lhe deu um dump de dados que aparentemente veio da empresa de hospedagem 000WebHost . Hunt trabalhou com um jornalista da Forbes para verificar os dados. Ao fazer isso, eles tentaram entrar em contato com a empresa, mas não obtiveram uma resposta.
O 000WebHost acabou reconhecendo a violação, mas isso só aconteceu depois que o jornalista da Forbes publicou um artigo sobre o assunto.
O que acontece se seus detalhes estiverem envolvidos em uma violação de dados
Se os detalhes da sua conta forem publicados online, há uma série de coisas que podem acontecer, nenhuma delas é boa.
Se sua conta de e-mail for violada , os hackers podem usá-la para acessar qualquer serviço ao qual seu e-mail esteja conectado. Eles também podem contatar pessoas, fingindo ser você. Se alguma de suas contas contiver informações pessoais, elas podem ser vendidas ou usadas para roubo de identidade. Se sua conta bancária online for acessada, seu dinheiro pode ser roubado.
Como Usar Já Fui Pwned
Have I Been Pwned é muito fácil de usar. Basta inserir seus dados e ele dirá se há uma correspondência. Aqui estão algumas coisas que você deve ter em mente ao usar o serviço.
Se seus dados não forem encontrados, isso não significa automaticamente que eles nunca foram roubados. Significa apenas que Have I Been Pwned nunca os encontrou.
O Have I Been Pwned não retorna resultados de violações que ocorreram em sites confidenciais, ou seja, algo adulto. Se quiser acessar todo o banco de dados, você terá que verificar o seu endereço de e-mail.
Se você se inscrever no Have I Been Pwned, você pode optar por receber um e-mail se seus dados forem publicados no futuro. Isso é muito recomendado.
O que fazer se seus dados vazarem
Se seus detalhes forem encontrados, há uma série de etapas que você deve seguir.
- Se sua senha for encontrada, você deve visitar qualquer site que a use e alterá-la imediatamente.
- Se alguma das contas afetadas for importante para você, procure evidências de que ela foi acessada.
- Se um endereço de e-mail for afetado, você também deve alterar a senha de qualquer serviço vinculado a ele.
- Você deve evitar usar essa senha em qualquer lugar no futuro.
Proteja suas contas hoje
As violações de dados são uma ocorrência frequente e podem acontecer em qualquer site da Web, independentemente do tamanho. Se você acha que pode ter sido afetado, Have I Been Pwned é o melhor, e talvez o único, recurso para descobrir.
Independentemente de seus dados já terem sido roubados ou não, a forma preferencial de proteção contra violações de dados é nunca usar a mesma senha em várias contas. Dessa forma, se seus dados forem roubados, apenas uma conta será afetada.