Uma publicação feita ontem pelo especialista australiano Troy Hunt, fundador do site ‘Have I Been Pwned’, em seu blog, levanta dúvidas sobre a possibilidade de invasão de sistemas policiais em Minneapolis pelo grupo Anonymous. Analisando os dados publicados, ele afirma que todos os sinais indicam que a “suposta violação do Departamento de Polícia de Minneapolis é falsa”. Antes de publicar as dúvidas no blog, Hunt publicou um tweet dizendo “estou vendo um monte de tweets tipo ‘Anonymous vazou os endereços de e-mail e senhas da polícia de Minneapolis’, com links e prints de telas e pastas como evidência. Isso quase certamente é falso por várias razões”. O site mantido pelo australiano guarda endereços de e-mail e senhas publicados em vazamentos na internet desde Dezembro de 2013.
Nos três tweets seguintes, Hunt explicou: “Primeiro, cada um dos endereços aleatórios que escolhi aparece no Have I Been Pwned, geralmente em listas de credential stuffing, que possuem pares de endereços de email e senha em texto sem formatação. Em outras palavras, esses são dados que já existem em outras violações – pelo menos os endereços de e-mail. “Em segundo lugar, as senhas são consistentemente *lamentáveis* e geralmente são todas em minúsculas, numéricas ou outros padrões que quase certamente seriam rejeitadas por qualquer funcionário da polícia de Minneapolis. São senhas simples, provavelmente quebradas em outras violações. Terceiro, isso está ganhando força porque as emoções são elevadas; a indignação pública está gerando um desejo de que isso seja verdade, mesmo que não seja. Colocar isso na hash tag Anonymous implica em justiça social, mesmo que tudo seja uma farsa”.
Veja isso
Anonymous invade sistema e ameaça expor autoridades dos EUA
Anonymous em guerra contra o governo do Brasil
Ao analisar o lote de dados recebidos, Hunt diz que “existem 798 endereços de email no conjunto de dados, mas apenas 689 endereços únicos – 87 dos endereços de e-mail aparecem várias vezes, geralmente duas, mas um deles sete vezes. É extremamente incomum ver o mesmo endereço de email com várias senhas diferentes em uma violação de dados legítima, pois a maioria dos sistemas simplesmente não permite um endereço é registrado mais de uma vez.
Desses 689 endereços de e-mail únicos, 654 já estavam no Have I Been Pwned. Essa é uma taxa de acerto de 95%, massivamente mais alta do que qualquer nova violação legítima. Se você navegar pela conta do Have I Been Pwned no Twitter, verá a porcentagem de contas violadas anteriormente ao lado de cada tweet, e normalmente isso está na faixa de 60% a 80% para serviços baseados nos EUA (taxas mais baixas para áreas do mundo sub-representadas no HIBP, por exemplo, Indonésia e Japão).
Hunt finaliza o artigo dizendo: “Quero ser realmente claro sobre algo neste momento: os eventos nos EUA atualmente são trágicos e as pessoas devem muito bem ficar com raiva. Mas raiva não deve significar jogar lógica e raciocínio pela janela, e não consigo pensar em um momento em que a verificação de fatos tenha sido mais importante do que agora, não apenas por causa da situação de Minneapolis, mas porque muito do que vemos online simplesmente não pode ser confiável. Então, com toda a certeza, fique com raiva, mas não espalhe desinformação; e, no momento, todos os sinais apontam para isso – a suposta “violação” do Departamento de Polícia de Minneapolis é falsa”.
