A notícia é recente, mas o ataque não é novo. Na verdade, ocorreu nos finais de 2014. Segundo a própria Yahoo, os dados de 500 milhões de contas terão caído nas mãos de hackers. O que significa que há uma forte de probabilidade de informações confidenciais, sobretudo que tenham sido registadas em e-mails dos utilizadores dos serviços Yahoo, terem sido utilizadas para fins ilícitos.
Esta falha é particularmente grave pelo atraso da deteção. Quem não mudou de password desde o roubo dos dados pode continuar a ser espiado, o que significa que deve começar por alterar a sua palavra-chave – se não sabe como fazer a alteração, sigas as instruções em https://br.ajuda.yahoo.com/kb/SLN27051.html.
Pior ainda, vários estudos demonstram que muitas pessoas utilizam a mesma password, por vezes com algumas variações fáceis de descobrir, em diferentes serviços, incluindo alguns particularmente sensíveis, como bancos online e contas empresariais. Ou seja, as passwords roubadas podem ter servido para aceder a outros serviços bem mais críticos para o utilizador do que a conta de e-mail do Yahoo.
Dados usados para descobrir outros dados
As consequências do acesso a uma conta de e-mail como a do Yahoo são muito mais vastas do que possa parecer à primeira vista. Além das passwords, os hackers terão tido acesso a informação como nomes e datas de nascimento dos utilizadores. A partir do momento em que estes dados ficam disponíveis no mercado negro, outros hackers podem processar a informação de modo a recriarem a vida digital dos donos das contas afetadas. Por exemplo, será fácil para os atacantes descobrir outras contas de e-mail; identificar amigos e familiares; obter informações pessoais e profissionais; e descobrir serviços subscritos. Estes últimos são particularmente importantes porque ajudam os hackers a centrarem os esforços. Por exemplo, um simples e-mail informativo enviado por um banco ou por uma loja online permitem ao hacker descobrir que o utilizador tem contas ativas nesses serviços. Depois, com os dados em posse, como a password de acesso ao Yahoo e dados pessoais do utilizador (nome, morada, data de nascimento, nome dos familiares diretos…), os hackers têm muito mais hipóteses de descobrirem os dados de acesso a esses serviços. Até porque muitas palavras-passe são criadas com base em datas, momentos e nomes familiares para o utilizador. Os hackers utilizam aplicações específicas e muito poder de computação para gerar palavras-passe e quanto mais informação tiverem sobre o utilizador, maior é a probabilidade de conseguirem obter as chaves de acesso.
O trabalho dos atacantes fica ainda mais simplificado quando descobrem nos e-mails listas de passwords e, em alguns casos, até informações confidenciais que podem ser usadas para extorsão ou roubo de identidade.
O que fazer
– Ativar sistemas de dupla autenticação para que a palavra-chave não seja o único método necessário para acesso (muitos serviços recorrem ao envio de senhas por SMS);
– Eliminar contas que já não usa, sobretudo aquelas que não permitem dupla autenticação;
– Alterar com regularidade a palavra-chave nos serviços mais sensíveis (banco, por exemplo);
– Usar palavras-chave longas (8 caracteres no mínimo) que misturem letras, algarismos e símbolos;
– Criar uma segunda, terceira ou mesmo quarta conta de e-mail para associar a serviços menos relevantes (para receber e-mails informativos, por exemplo) e não usar essa(s) conta(s) para enviar/receber mails importantes;
– Aceder aos serviços online através de dispositivos seguros: nos computadores, deve ter um bom software de segurança instalado (as aplicações normalmente incluem denominação de Internet Security).
O que não fazer
– Usar a mesma password em serviços diferentes;
– Usar variações de password (sim, os hackers conhecem todos os truques, como juntar letras ou números relacionados com o serviço ou site);
– Recorrer a palavras, nomes, momentos e datas importantes para si para criar as palavras-chave (as técnicas de mnemónica são conhecidas e aproveitadas pelos hackers);
– Aceder a serviços sensíveis (banco online, por exemplo) a partir de PCs partilhados ou desconhecidos;
– Guardar listas de dados de acesso no mail (passwords, nomes de utilizador) ou em outros serviços digitais;
– Responder a e-mails e outros tipos de contacto (redes sociais, por exemplo) de desconhecidos;
– Seguir instruções e links supostamente enviados por serviços (a regra é: se lhe estão a pedir dados é porque, provavelmente, trata-se de um esquema fraudulento);
– Guardar informação sensível em contas de e-mail que foram usadas em registos de outros serviços;
– Aceder a serviços online com dados pessoais importantes através de redes Wi-Fi públicas.
