‘RockYou’: por que o suposto vazamento de 8,4 bilhões de senhas não está preocupando especialistas

Um integrante de um fórum on-line frequentado por hackers publicou um registo gigante chamado de “RockYou” contendo, supostamente, 82 bilhões de senhas. Seria a maior coletânea de senhas já publicada, mas a análise dos especialistas mostrou um cenário dissemelhante e muito menos assustador.

O registo tem 100 GB, mas está recheado de problemas. O primeiro deles é que não há informações de usuário. Isso significa que não há como usar essa informação diretamente para atacar quem quer que seja, já que o login sempre depende de um usuário e uma senha.

Outro problema é a repetição de dados. As 82 bilhões de senhas são, na verdade, 8,4 bilhões de senhas únicas.

Mas a maior farsa do registo está na inclusão de sequências que nem sequer foram retiradas de senhas. Embora o registo tenha sido batizado de “RockYou”, em referência a um vazamento de dados de 2009, a maioria das combinações não saiu de vazamentos.

De concordância com o especialista Troy Hunt, fundador do site “Have I Been Pwned”, que monitora vazamentos, o registo contém todas as palavras dos bancos de dados da Wikipedia e do Projeto Gutenberg, que digitaliza textos para preservar obras literárias.

Hunt revelou que o volume de “senhas” no registo é 14 vezes maior do que o registrado por ele em seu site. Isso significa que mais de 90% do teor não corresponderia a uma credencial vazada mesmo que todas as senhas conhecidas estivessem no registo.

Senhas corrompidas
Os trechos do registo que realmente foram retirados de pacotes vazados sofreram modificação e nem sempre correspondem aos dados originais.
O próprio integrante do fórum que publicou o registo avisa que certos caracteres especiais e espaços foram removidos. Qualquer senha que tinha um espaço ou um caractere especial não incluso no padrão americano foi corrompida.

Combinações com mais de 20 caracteres também foram limitadas aos primeiros 20 caracteres. Assim, essas senhas estão incompletas.