Se você usa a mesma senha no LinkedIn e em outros sites, más notícias: ela pode ter sido vazada. A rede social está alertando os usuários afetados via e-mail.

>>> Por que você deveria usar um gerenciador de senhas
>>> Os erros comuns que enfraquecem a sua senha “forte”

Segundo o Motherboard, um hacker chamado “Peace” está tentando vender o e-mail e senha de 117 milhões de usuários do LinkedIn no mercado negro por cerca de US$ 2.200, a serem pagos em bitcoin.

O LinkedIn explica que as senhas foram obtidas após um ataque em 2012. Na época, 6,5 milhões de credenciais foram vazadas, e várias senhas foram rapidamente descriptografadas.

Desta vez, o problema se repete: o Motherboard afirma que 90% das senhas foram desvendadas em 72 horas. É que a rede social armazenava as senhas de forma pouco segura (sem usar o método “hash-salt”), exigindo apenas um parâmetro para descriptografá-las – o que facilita ataques por força bruta.

O LinkedIn avisa que está resetando as credenciais de todo mundo que não trocou a senha desde o ataque de 2012, e alertando-os por e-mail.

A empresa também diz: “nós exigimos que os responsáveis parem de disponibilizar dados roubados de senha, e iremos avaliar potenciais ações jurídicas se eles não cumprirem o pedido. Enquanto isso, estamos usando ferramentas automatizadas para tentar identificar e bloquear qualquer atividade suspeita que possa ocorrer nas contas afetadas”.

E se você usa o mesmo login e senha do LinkedIn em outros lugares, é melhor mudar suas credenciais nos outros sites também. Use um gerenciador de senhas e, quando possível, ative a autenticação de dois fatores (que exige um código temporário adicional além da senha).

Tumblr e Spotify

Geralmente, vazamentos de senha nunca aparecem sozinhos. Na semana passada, o Yahoo confirmou que “um terceiro obteve acesso a um conjunto de endereços de e-mail e senhas protegidas por hash-salt do início de 2013”.

Neste caso, as senhas estavam mais protegidas, e provavelmente não foram usadas para invadir contas. Ainda assim, o Tumblr “exigiu aos usuários afetados que definam uma nova senha”.

E, no final de abril, centenas de credenciais para o Spotify – incluindo e-mails, nomes de usuário e senhas – apareceram no site Pastebin. Alguns clientes notaram atividades não-autorizadas na própria conta.

A empresa diz que não sofreu invasão hacker: provavelmente os usuários reutilizaram senhas de outros sites, e é aí onde eles foram roubados. De fato, segundo o TechCrunch, clientes afetados também viram suas contas do Facebook, Uber ou Skype serem acessadas também.

O Spotify diz que, quando encontra credenciais circulando na web, “nós primeiro verificamos se elas são autênticas; se forem, nós imediatamente notificamos os usuários afetados para alterarem suas senhas”. O serviço, no entanto, não oferece autenticação por dois fatores.

[Motherboard e LinkedIn Blog via TechCrunch]

Foto por Marcio Jose Sanchez/AP