A “maior comunidade de sexo e swing do mundo” sofreu um ataque em outubro que expôs informações de 412 milhões de contas. Não é a primeira vez que o site AdultFriendFinder é hackeado, mas dessa vez o vazamento foi enorme.

• Hacker que roubou fotos de celebridades nuas é condenado a 18 meses de prisão
• Sua conta do Brazzers pode ter sido exposta (não que você tenha uma)

O pessoal do LeakedSource, site especializado em notificação de brechas, divulgou a história hoje. A reportagem indica que contas, endereços de emails e senhas foram coletadas numa base de dados que foi disponibilizada em mercados criminosos online.

Só o site AdultFriendFinder responde por 300 milhões dos cadastros vazados. O restante das 412 milhões vem das outras propriedades da empresa, que incluem a Penthouse, Stripshow e iCams. Se você já foi um usuário que deletou sua conta e acha que está tudo bem, sinto muito em dizer que 15 milhões de contas “apagadas” também estão na base de dados.

Outras informações contidas no vazamento incluem se o usuário era um membro VIP, browser que costumava usar, o último IP utilizado para login e confirmações de compras por usuários.

O ZDNet obteve uma parte do banco de dados para fazer uma varredura e verificar algumas informações. Eles descobriram que, ao contrário da invasão de 2015, que expôs dados de 3,5 milhões de usuários, o ataque desta vez não continha informações sobre as preferências sexuais.

As três maiores bases de dados SQL do site incluía nomes de usuário, endereços de email, data da última visita e senhas, que estavam armazenadas em texto ou codificado com a função SHA-1, que para os padrões modernos não é tão seguro quanto os novos algoritmos.

O ZDNet também conseguiu verificar a autenticidade da base de dados ao entrar em contato com alguns usuários. Outros métodos foram usados para a verificação, você pode consultá-los neste link.

Um usuário que foi contatado pelo site confirmou que ele utilizou o AdultFriendFinder “uma ou duas vazes, mas disse que a informação que utilizou foi ‘falsa’ porque é preciso se registrar”. Isso deve servir para muitos outros usuários também. Mas ainda assim, vale a pena ficar atento a todas as contas e mudar as senhas.

Falando de senhas, o pessoal do LeakedSource separou as mais comuns. As pessoas nunca vão parar de usar 123456? E tem todas as variações desse tipo como “qwerty” e “password”, até chegar na décima terceira senha mais comum que é “pussy”.

Por email, o AdultFriendFinder disse o seguinte para o ZDNet:

“Pelas últimas semanas, o FriendFinder recebeu diversas denúncias sobre as potenciais vulnerabilidades de segurança de várias fontes. Imediatamente nós começamos a analisar a situação e trazer parceiros externos para ajudar a nossa investigação”, disse Diana Ballow, vice-presidente e conselheira sênior, em um email na sexta-feira.

“Enquanto uma parte dessas denúncias fossem tentativas de extorsão, nós conseguimos identificar e consertar um erro que estava relacionada ao acesso ao nosso código fonte por meio de uma vulnerabilidade de injeção.

“O FriendFinder leva a segurança de seus consumidores a sério e iremos oferecer mais atualizações conforme nossa investigação continuar”, completou.

Ainda que os números sejam assustadores, a falta de informações pessoais nos dá a esperança de que não haja extorsões, como aconteceu no caso do site Ashley Madison em 2015.

[LeakedSource e ZDNet via The Verge]