Milhões de contas Tumblr e MySpace à venda no mercado negro

No caso do Tumblr, a rede social detida pela Yahoo admitiu há duas semanas que descobriu uma fuga de dados de 2013, mas não deu muitos detalhes sobre o ataque. Agora, o site Have I Been Pwned (onde os utilizadores podem verificar se as suas informações estão em risco) obteve uma cópia da informação roubada e revelou a vários meios que estão em causa 65 milhões de contas.

Estes dados estão à venda num mercado negro, nomeadamente no site TheRealDeal (via Tor), por um utilizador autodenominado Peace. O mesmo que está a tentar vender 360 milhões de contas do MySpace, fruto de outro ataque não reportado em 2013, por seis Bitcoin (cerca de 2500 euros). A sua “oferta” inclui ainda 40 milhões de contas do site para adultos Fling.com.

Na nota que libertou quando teve conhecimento do ataque, o Tumblr referiu que os dados roubados contêm endereços de email e palavras passe “hashed” e “salted”, isto é, acompanhadas de uma representação criptográfica (hashes) e com texto aleatório adicionado (salt).

“Assim que soubemos disto, a nossa equipa de segurança investigou a fundo a matéria”, disse a equipa do Tumblr. “A nossa análise não nos dá razão para acreditar que esta informação foi usada para aceder a contas no Tumblr. Mas como precaução, vamos pedir aos utilizadores afetados que definam uma nova palavra passe.”

O mesmo é válido para o MySpace: mesmo que o utilizador não entre na sua conta há muito tempo, é possível que os dados na posse dos piratas ainda sejam relevantes e possam causar danos. A rede social, ao contrário do que muitos pensam, ainda não esta morta: tem 50 milhões de utilizadores mensais, num universo bem superior de consumidores registados – mil milhões.