Mais de 65 milhões de contas do Tumblr estão sendo vendidas por criminosos em mercados negros. Elas foram obtidas através de um hack de 2013. O serviço admitiu neste mês que as contas foram comprometidas.

As informações são do site "Have I Been Pwned?" que permite qualquer um inserir seu email e verificar se seus dados foram expostos em algum vazamento, como este do Tumblr. O site afirmou:

No início de 2013, Tumblr sofreu vazamento de dados que resultou na exposição de mais de 65 milhões de contas. Os dados foram depois postos à venda em um site de mercado ilegal, e incluía endereços de email junto com as senhas armazenadas em hashes SHA1.

Sobre isso, Tumblr afirmou:

Recentemente descobrimos que acesso à uma parte das contas do Tumblr do início de 2013, antes da aquisição do Tumblr pela Yahoo, havia sido obtido. [...] Usuários afetados foram requisitados a resetar suas senhas.

Esse não é o primeiro grande vazamento de dados nos últimos dias. De acordo com Troy Hunt, o analista de segurança por trás do site "Have I been Pwned?", apenas nos últimos seis dias mais de 269 milhões de contas hackeadas foram adicionas.

Um dos principais casos recentes foi o do LinkedIn que teve mais de 117 milhões de suas contas expostas. Este, porém, parece até pequeno comparado ao do MySpace com suas 427 milhões de contas expostas.

Troy sugere que existe algum tipo de conexão entre esses vazamentos, já que a maioria ocorreu anos atrás mas apenas agora estão sendo vendidos, e os bancos de dados estão sendo vendidos pela mesma pessoa. Sendo assim, é possível que nas próximas semanas vejamos mais contas hackeadas aparecendo na internet.

Como se proteger?

No caso do Tumblr as senhas estão criptografadas no formato de hashes SHA1, mas ainda assim é possível quebrar esta segurança através de técnicas de força bruta. Quanto maior e mais complexa a senha, mais difícil é quebrar a criptografia, mas não impossível.

Quem obtém essas listas de contas hackeadas geralmente o faz para tentar usar as senhas em outros sites. Como estes ataques estão fora do nosso controle já que acontecem em sites e não em nossos sistemas, só existe uma maneira de se proteger: jamais usar a mesma senha em diferentes lugares.