FRANKFURT (Reuters) - A principal companhia de Internet da Rússia, Mail.ru, afirmou nesta sexta-feira que uma parcela das contas de email de seus usuários ficou vulnerável, mas negou que dezenas de milhões de outras ficaram sob risco, apesar de pesquisadores afirmarem que encontraram dados das contas circulando entre cibercriminosos.
A companhia afirmou em comunicado que credenciais vinculadas às suas contas de email parecem ter sido roubadas de outros sites não relacionados à empresa, como redes sociais e páginas de comércio eletrônico que pedem para usuários fazerem login digitando emails como os do Mail.ru.
Entretanto, o especialista em segurança que descobriu o problema, afirmou eu a própria análise da Mail.ru sugere que dezenas de milhares de usuários estão sob risco.
Alex Holden, fundador da Hold Security, uma companhia dos Estados Unidos especializada em recuperação de credenciais de acesso roubadas por hackers, afirmou à Reuters que seus pesquisadores conseguiram convencer um jovem hacker russo a revelar os dados roubados.
A Reuters publicou na quarta-feira que a Hold Security descobriu 272,3 milhões de credenciais de acesso roubadas no mundo, incluindo 57 milhões da Mail.ru e pequenas frações de bases de usuários de serviços do Google, Yahoo e Microsoft.
Em comunicado, a Mail.ru afirmou que fez uma análise sobre os dados levantados por Holden que descobriu que 99,982 por cento das credenciais relativas a contas da companhia citadas na lista eram inválidas. A maioria tinha senhas incorretas ou usavam nomes de email falsos.
Mas a companhia reconheceu que 0,018 por cento dos nomes de acesso e senhas podem funcionar e comentou que já notificou os usuários afetados para alterarem suas senhas.
Hackers sabem que usuários se apegam a determinas senhas. É por isso que eles utilizam senhas antigas que funcionaram em uma conta para tentar invadir outras do mesmo usuário.
Holden, cuja empresa ganha comissões por fornecer dados de inteligência para algumas das maiores companhias do mundo, afirmou que passou a semana pasada informando qualquer companhia cujas credenciais de acesso podem ter sido comprometidas. Ele disse que fez isso de graça.
(Por Eric Auchard)