/https://i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2025/t/u/XU9mUkR7ypeAQSfhB3IA/2025-03-30t170249z-1133584136-rc2sndawrwmx-rtrmadp-3-europe-space-norway-1-.jpg)
Criador do Have I Been Pwned foi vítima de "phishing"
Troy Hunt, criador do Have I Been Pwned, foi ele próprio vítima de phishing. O Have I Been Pwned é um site e serviço que se dedica a alertar pessoas caso dados referentes às suas contas surjam em bases de dados roubadas, e apesar de Troy Hunt, o seu criador, estar bem consciente dos riscos e ameaças digitais, desta vez não conseguiu tornar-se, ele próprio, numa vítima de phishing. Os atacantes não ganharam acesso ao site em si, mas sim à sua conta Mailchimp, plataforma que ele utiliza para o envio da sua newsletter, tendo conseguido roubar a lista de emails de todos os subscritores - não só os subscritores activos, mas também todos os subscritores que tinham pedido a remoção do seu email; pois o Mailchimp continua a guardar os seus emails. O ataque acaba por demonstrar como um email de phishing pode enganar até pessoas experientes, bastando que aconteça uma série de condições "perfeitas". Neste caso, recebeu um email que se fazia passar por um email do serviço Mailchimp a indicar que a conta tinha sido restringida por uma queixa de spam, e que seria necessário realizar alguns procedimentos para retomar o envio dos emails - algo que naturalmente cria um sentido de "urgência" para que se tente resolver o mais rapidamente possível. Como se pode imaginar, a página de login era falsa, permitindo aos atacantes apanhar a sua password, entrar no serviço real e roubar a lista de emails dos subscritores. Pelo meio ainda existiram alguns passos suspeitos, como o facto do 1Password não ter feito o preenchimento automático do login na página de phishing, mas que no meio da urgência foi ignorado por, por vezes acontecer em certo sites legítimos. E só mais tarde, depois de introduzir o código 2FA e se deparar com uma página "encravada", é que subitamente tomou consciência de ter sido apanhado. Serve como exemplo de que ninguém está livre de cometer os mesmos erros que tanto alerta que outros que não cometam.
O Have I Been Pwned é um site e serviço que se dedica a alertar pessoas caso dados referentes às suas contas surjam em bases de dados roubadas, e apesar de Troy Hunt, o seu criador, estar bem consciente dos riscos e ameaças digitais, desta vez não conseguiu tornar-se, ele próprio, numa vítima de phishing.
Os atacantes não ganharam acesso ao site em si, mas sim à sua conta Mailchimp, plataforma que ele utiliza para o envio da sua newsletter, tendo conseguido roubar a lista de emails de todos os subscritores - não só os subscritores activos, mas também todos os subscritores que tinham pedido a remoção do seu email; pois o Mailchimp continua a guardar os seus emails.
Como se pode imaginar, a página de login era falsa, permitindo aos atacantes apanhar a sua password, entrar no serviço real e roubar a lista de emails dos subscritores. Pelo meio ainda existiram alguns passos suspeitos, como o facto do 1Password não ter feito o preenchimento automático do login na página de phishing, mas que no meio da urgência foi ignorado por, por vezes acontecer em certo sites legítimos. E só mais tarde, depois de introduzir o código 2FA e se deparar com uma página "encravada", é que subitamente tomou consciência de ter sido apanhado.
Serve como exemplo de que ninguém está livre de cometer os mesmos erros que tanto alerta que outros que não cometam.
