Após Dropbox, 43 milhões senhas do Last.fm caem na web
Um pacote contendo 43,5 milhões de credenciais de acesso ao site de música Last.fm caiu na web na semana passada. Os dados foram roubados do site em 2012, mas só agora estão sendo distribuídos de maneira ampla na web.
O caso é semelhante ao do Dropbox, que também foi invadido em 2012 e só agora um pacote contendo 68 milhões de senhas está sendo disseminado pelo submundo da rede.
No caso do Last.fm, porém, o site de música já havia alertado seus usuários em junho de 2012, informando, na época, que senhas de seus usuários foram obtidas. A empresa, porém, havia dito que o vazamento afetou “alguns” usuários, mas não especificou exatamente quantos.
De acordo com o site “LeakedSource”, uma página especializada em vazamentos de dados que recebeu uma cópia do pacote, são exatamente 43.570.999 credencias no arquivo roubado do Last.fm.
O pacote do Last.fm também é notável por não utilizar um bom mecanismo de proteção nas senhas. Serviços on-line costumam fazer uso de tecnologias de representação numérica (“hash”), que são de via única. Ou seja, é possível converter um valor (uma senha) para sua representação, mas a representação não pode ser convertida de volta para a senha. Graças a isso, o site não precisa armazenar sua senha para saber quando você digita a senha correta: ele apenas calcula a representação, confere com a representação armazenada e depois descarta a senha digitada.
No caso do Last.fm, as senhas estão resguardadas por uma tecnologia conhecida como “MD5”, que é considerada fraca para os padrões de hoje. Também não é utilizado o reforço conhecido como “salt”. O Dropbox, que foi invadido na mesma época, usava SHA-1 com o reforço do “salt” e estava realizando uma transição para o Bcrypt – ambos mecanismos consideravelmente melhores.
Por isso, na prática, a proteção do Last.fm acaba sendo quase nula. A equipe do LeakedSource conseguiu converter 96% das senhas para os valores reais em apenas duas horas.
O LinkedIn, que também usava apenas o MD5 puro, viabilizou ataques em outros serviços como o GoToMyPC e TeamViewer, além da invasão das contas do Twitter e Pinterest de Mark Zuckerberg, fundador do Facebook.
Quem utilizava o Last.fm em 2012 precisa não só alterar a senha no serviço, mas também abandonar a senha utilizada lá em quaisquer outros lugares que ela tenha sido usada. Como o pacote inclui o nome do usuário e e-mail, criminosos podem tentar usar essas informações em outros lugares, especialmente pela facilidade de se obter as senhas no pacote.
Imagem: Logo do Last.fm. (Foto: Divulgação)
