O Yahoo confirmou que dados de 500 milhões de seus usuários foram obtidos no final de 2014 por invasores que, segundo a empresa, provavelmente foram patrocinados por um governo.  A brecha é a maior já divulgada por um prestador de serviços on-line, ofuscando as 360 milhões de contas roubadas da rede social MySpace. Quem utiliza os serviços do Yahoo e tem cadastro no site precisa agir para se proteger.O Yahoo já está solicitando uma troca de senha para todos que não mudaram a senha desde a data do vazamento.  Usuários "potencialmente afetados" (o Yahoo não esclareceu exatamente quem são esses usuários) devem receber um comunicado por e-mail alertando sobre o ocorrido. Por enquanto, a maior parte das informações só está disponível em inglês no site do Yahoo.Confira oito pontos importantes sobre esse vazamento:1. Qualquer senha cadastrada na sua conta do Yahoo durante o ano de 2014 deve ser considerada vulnerável e trocada. Como o Yahoo não informou exatamente quando a invasão ocorreu, é melhor supor que qualquer senha configurada durante o ano de 2014 possa ter sido obtida pelos invasores. Isso significa que você não deve usar essas senhas em nenhum outro lugar, nunca mais, especialmente combinada com sua conta do Yahoo (por exemplo, você usou seu e-mail do Yahoo em um cadastro em outros sites e usou a mesma senha). Caso você tenha reciclado essa senha em outros lugares, troque-a imediatamente. Senhas de contas de e-mail devem estar entre as mais fortes que você usa e devem ser sempre únicas.2. E-mail, telefone e data de nascimento.Segundo o Yahoo, cada cadastro roubado pode ter incluído as seguintes informações: nome, número de telefone, data de nascimento e perguntas e respostas de segurança. O que exatamente foi vazado dependerá em parte do detalhamento do cadastro de cada usuário (por exemplo, se você não cadastrou seu telefone no Yahoo, então não há chance do número estar no vazamento).

3. Contas expostas não foram necessariamente acessadas. O Yahoo notificará todos os usuários cujas informações de cadastro foram obtidas indevidamente pelos invasores. Receber a notificação, porém, não é o mesmo que uma confirmação de acesso indevido á conta em si. Todos os acessos à sua conta ficam registrados no painel "Atividade recente" (veja) e é preciso conferir esses dados para saber se a conta foi realmente acessada por um terceiro.4. O vazamento não afetou contas do Tumblr, mas o Tumblr foi alvo de outro ataque em 2013. O Tumblr é um serviço do Yahoo, mas as contas são armazenadas em outro sistema e, segundo a empresa, não houve acesso indevido. Mas o Tumblr foi atacado em 2013, antes de ser adquirido pelo Yahoo, e um pacote com 65 milhões de registros do serviço (usuários e representações de senhas) começou a circular na web em maio deste ano.

Ataque ao Tumblr e ao Yahoo ocorreram em datas diferentes. (Foto: Reprodução)
5. A quebra das senhas leva tempo, mas é possível. As senhas no banco de dados do Yahoo estavam, em sua maioria, protegidas com uma técnica chamada Bcrypt. Esse é um método seguro para armazenar uma representação numérica das senhas (não é a senha em si). Porém, com tempo suficiente, é possível encontrar a senha a partir dessa representação. Os computadores de hoje levariam muito tempo para essa tarefa, mas o avanço da capacidade de processamento tende a facilitar esse trabalho com o passar dos anos. Além disso, algumas senhas estão protegidas com outro método não identificado pelo Yahoo, e essas senhas provavelmente estão mais vulneráveis. Também não se sabe qual a capacidade que os invasores têm para quebrar essas senhas, e senhas mais curtas são mais fáceis de quebrar.SAIBA MAIS:Quanto tempo um computador precisa para quebrar sua senha?Como hackers retiram senhas de dados vazados? G1 Explica 6. Os dados parecem ser diferentes de outros que já caíram na web.Em agosto de 2016, um pacote supostamente contendo dados de 200 milhões de usuários do Yahoo, obtido em 2012, foi colocado à venda na web. Além do número de contas comprometidas e da data serem diferentes, as senhas do pacote estavam gravadas em MD5, uma representação muito inferior ao Bcrypt. O Yahoo não confirmou a veracidade desse pacote de 2012 e especialistas independentes também têm dúvidas de que essas informações do pacote foram mesmo roubadas do Yahoo. Não se sabia, até a divulgação do Yahoo, desta invasão em 2014.7. Não há confirmação de que os dados estão na web, mas eles ainda podem ser publicados. O comunicado do Yahoo afirma que uma cópia dos dados foi obtida por um invasor, mas não chega a dizer se os dados estão na web ou não. Isso significa que o invasor pode estar reservando os dados para seu uso exclusivo ou de um grupo restrito. No entanto, muitos vazamentos que caíram na web este ano ocorreram em 2012, então não é impossível que esses dados circulem pela rede no futuro. Por isso, é melhor agir o quanto antes.8. O diretor de segurança da informação do Yahoo foi para o Facebook. A mensagem que o Yahoo está enviando para seus usuários traz o nome de Bob Lord, atual diretor de segurança da informação do Yahoo. Em 2014, quando a invasão ocorreu, o diretor de segurança da informação do Yahoo era Alex Stamos, que saiu da companhia em junho de 2015 após uma oferta para ocupar o mesmo cargo no Facebook, onde está até hoje.Dúvidas sobre segurança, hackers e vírus? Envie parag1seguranca@globomail.com