Na sexta-feira (20/03) mensagens circularam no Twitter indicando um link com a possível base de dados do MeAdiciona. As mensagens, ao que tudo indica, foram postadas automaticamente por algum script malicioso em algum link clicado anteriormente pelo usuário do Twitter. A Cynara Peixoto O Rafael Silva do MundoTecno conseguiu baixar o arquivo e enviou para o Diego Sampaio do MeAdiciona. Este confirmou que aquele arquivo é parte da base de dados do MeAdiciona do mês de Janeiro.
O que me parece que aconteceu foi que alguém teve realmente acesso à base de dados de perfis do MeAdiciona. Por sorte as nossas senhas lá estão criptografadas em hash MD5.
O MeAdiciona, em nota oficial, diz que o fato das mensagens terem sido postadas no Twitter através da contas de vários usuários nada tem a ver com as senhas que vazaram do serviço e sim com uma falha usando o ataque XSS que foi descoberta no Twitter. O MeAdiciona diz que usaram essa vulnerabilidade do Twitter para atacar a credibilidade do serviço.
O hash MD5 usado por muitos serviços web para armazenar senhas de forma criptografada é, em tese, irreversível. Vou explicar: o hash é criado a partir de um algoritímo matemático aplicado a bytes de informação. Ele serve para autenticar se aquela mensagem é a mesma criptografada no hash. Mas não existe conta matemática que faça o inverso, transforme o hash na mensagem original, seja ela um e-mail ou uma senha.
O que pode existir são bancos de comparação entre palavras comuns e seus hashs. Se você usa como senha para o seu e-mail a palavra “amor”, por exemplo, o seu hash MD5 é “5da2297bad6924526e48e00dbfc3c27a”. Alguém pode ter compilado equivalências para palavras comuns e seus hashs. Se você usa senhas fracas como essa para proteger seus logins certamente é fácil deduzir sua senha. É só procurar esse hash no Google pra ver como muita gente o usa.
Ou seja, alguém no poder das senhas do MeAdiciona realmente não tem como descobrir quais são aquelas senhas a menos que você use palavras fáceis e que estão espalhadas por aí nos dicionários de ataque hash MD5 – senha. Ou o hacker pode usar o ataque de força bruta e criar hashs para todas as possíveis combinações de senhas que existem, até achar a que seja exatamente igual ao seu hash. (altamente improvável, levaria centenas de anos usando o poder de computação atual).
De qualquer forma a recomendação é sempre mudar suas senhas periodicamente. E, precisamos saber o que aconteceu com o MeAdiciona para deixar esse tipo de informação cair na rede.
Recomendo ainda ouvirem o episódio 35 do podcast Security Now (em inglês), que explica muito bem toda essa história de hashs para criptografia e autenticação de mensagens e senhas.