Algo que quase todos já sabemos, é que é cada vez mais frequente as listas de usuários e senhas que são publicadas em sites como o 4chan, Pastebin e também na Deep Web. Com isso, donos de credenciais fáceis de adivinhar viram vítimas de roubo de identidade ou tem sua informação pessoal roubada.
Por essa razão, o Facebook decidiu entrar em ação e anunciou o lançamento de um sistema que revisará a Internet periodicamente, procurando senhas que tenham sido roubadas e alertar os seus donos, assim elas podem ser trocadas antes que os cibercriminosos as utilizem de forma ilícita.
Construímos um sistema programado para melhorar a segurança das contas do Facebook, procurando ativamente publicações abertas, analisando e notificando as pessoas quando encontramos suas credenciais na Internet. Para chegar a isso, monitoramos certos sites procurando credenciais roubadas e relatórios de grandes fugas de informação.
Agora, como funcionará esse processo?
Ao recompilar uma lista de e-mails e senhas roubadas, o Facebook as revisa em seus servidores. As que permitem o acesso a contas de usuários são resetadas automaticamente e seus donos serão notificadas para que possam ser modificadas na próxima vez que eles acessem a rede social.
Coletamos as credenciais que foram roubadas e publicadas e checamos se a combinação entre o e-mail e a senha são as mesmas utilizadas no Facebook. Esse é um processo completamente automático e não requer que saibamos ou armazenemos a senha real sem calcular o hash. Em outras palavras, ninguém aqui tem a senha do usuário em texto plano. Para procurar coincidências, utilizamos o endereço de e-mail e a senha e os passamos pelo mesmo código que utilizamos no processo de login. Se encontramos uma coincidência, notificáramos o usuário na próxima vez que ele acesse e o guiaremos no processo de troca de senha.
Se bem que é verdade que muitas vezes essas listas publicadas são antigas ou pertencem a contas que já não são mais utilizadas (além de apresentar senhas que já foram trocadas), é importante destacar essa implementação feita pelo Facebook.
Vale a pena lembrar que a pouco tempo atrás, 7 milhões de credenciais roubadas do Dropox tinham sido publicadas no Pastebin, e, algo semelhante (embora tenham sido senhas que já não eram válidas) aconteceu quando publicaram 5 milhões de senhas do Gmail.
É claro que, ter senhas de acesso fortes e seguras continuam sendo uma das prioridades mais importantes nesses casos, além da dupla autenticação.
Autor Sabrina Pagnotta, ESET
Adaptação Ilya Lopes, ESET
