O Facebook vai combater a publicação de senhas roubadas

O Facebook vai combater a publicação de senhas roubadas

Algo que quase todos já sabemos, é que é cada vez mais frequente as listas de usuários e senhas que são publicadas em sites como o 4chan, Pastebin e também na Deep Web. Com isso, donos de credenciais fáceis de adivinhar viram vítimas de roubo de identidade ou tem sua informação pessoal roubada. Por essa

Algo que quase todos já sabemos, é que é cada vez mais frequente as listas de usuários e senhas que são publicadas em sites como o 4chan, Pastebin e também na Deep Web. Com isso, donos de credenciais fáceis de adivinhar viram vítimas de roubo de identidade ou tem sua informação pessoal roubada. Por essa

facebook_contrasena_robada-623x426

Algo que quase todos já sabemos, é que é cada vez mais frequente as listas de usuários e senhas que são publicadas em sites como o 4chan, Pastebin e também na Deep Web. Com isso, donos de credenciais fáceis de adivinhar viram vítimas de roubo de identidade ou tem sua informação pessoal roubada.

Por essa razão, o Facebook decidiu entrar em ação e anunciou o lançamento de um sistema que revisará a Internet periodicamente, procurando senhas que tenham sido roubadas e alertar os seus donos, assim elas podem ser trocadas antes que os cibercriminosos as utilizem de forma ilícita.

Construímos um sistema programado para melhorar a segurança das contas do Facebook, procurando ativamente publicações abertas, analisando e notificando as pessoas quando encontramos suas credenciais na Internet. Para chegar a isso, monitoramos certos sites procurando credenciais roubadas e relatórios de grandes fugas de informação.

Agora, como funcionará esse processo?

Ao recompilar uma lista de e-mails e senhas roubadas, o Facebook as revisa em seus servidores. As que permitem o acesso a contas de usuários são resetadas automaticamente e seus donos serão notificadas para que possam ser modificadas na próxima vez que eles acessem a rede social.

Coletamos as credenciais que foram roubadas e publicadas e checamos se a combinação entre o e-mail e a senha são as mesmas utilizadas no Facebook. Esse é um processo completamente automático e não requer que saibamos ou armazenemos a senha real sem calcular o hash. Em outras palavras, ninguém aqui tem a senha do usuário em texto plano. Para procurar coincidências, utilizamos o endereço de e-mail e a senha e os passamos pelo mesmo código que utilizamos no processo de login. Se encontramos uma coincidência, notificáramos o usuário na próxima vez que ele acesse e o guiaremos no processo de troca de senha.

Se bem que é verdade que muitas vezes essas listas publicadas são antigas ou pertencem a contas que já não são mais utilizadas (além de apresentar senhas que já foram trocadas), é importante destacar essa implementação feita pelo Facebook.

Vale a pena lembrar que a pouco tempo atrás, 7 milhões de credenciais roubadas do Dropox tinham sido publicadas no Pastebin, e, algo semelhante (embora tenham sido senhas que já não eram válidas) aconteceu quando publicaram 5 milhões de senhas do Gmail.

É claro que, ter senhas de acesso fortes e seguras continuam sendo uma das prioridades mais importantes nesses casos, além da dupla autenticação.

 

Imagem: ©Cathy Stanley-Erickson/Flickr

Autor Sabrina Pagnotta, ESET

Adaptação Ilya Lopes, ESET

Discussão