Recebi um e-mail confuso do Google hoje. Ele tinha o assunto “Alerta crítico de segurança” e o corpo dizia em parte “O Google tomou conhecimento de que outra pessoa sabe sua senha e tomamos medidas para proteger sua conta”.
Aparentemente, são legítimas e confirmei que os links e cabeçalhos das mensagens não parecem uma tentativa de phishing.
Imagem: https://imgur.com/a/cvpfh3k
O estranho é que o endereço de e-mail listado não é um endereço do Gmail – é um e-mail associado a uma das minhas contas de hospedagem na web. Buscamos e-mails dessa conta via POP3 em nossa conta do Gmail.
O texto não é ambíguo – eles afirmam claramente que sabem que alguém sabe a senha dessa conta. Mas como? O Google não tem acesso especial à conta. Eles provavelmente têm a cópia em texto simples do senha disponível para autenticação POP3, então se houve uma violação de dados neste armazenamento no google, então eu acho que é uma maneira, mas estou ficando em branco em qualquer outra coisa. E o texto “login novamente” soa É como se eles pretendessem enviá-lo para o Gmail, mas eu não sei como perguntar a eles.
Mesmo se minha falta de segurança significasse que terceiros tivessem acesso, como o Google saberia?
Resposta
Como o Google tem a senha da conta POP3, ele pode verificar os despejos de senha comuns se a senha for conhecida publicamente. Eles não afirmam que alguém está usando ativamente a senha com sua conta POP3, apenas que alguém sabe disso. E pedem que você altere a senha para proteger sua conta.
Comentários
- Suponho que seja possível, mas ainda acho a frase muito estranha – quais etapas eles estão realizando para ' proteger minha conta '? Os e-mails ainda estavam sendo recuperados no dia seguinte ao recebimento dessa mensagem e meu host confirma que nenhum IP além do meu próprio ou do Google ' s estava acessando o servidor de e-mail. a senha em questão foi gerada automaticamente pelo KeePass e não usada em outro lugar, portanto ' é possível que ' esteja em um depósito público, mas muito improvável .
- @NickP, Mesma experiência, dúvidas e sentimentos aqui. Fui em frente e verifiquei minha senha no despejo público (e depois a alterei!), mas não era ' não encontrado. Acho tudo estranho.
- @schroeder minha resposta excluída abordou a primeira pergunta do OP: " O texto não é ambíguo – eles afirmam claramente que sabem que alguém sabe a senha desta conta. Mas como? " (meu negrito). Minha resposta também incluiu a justificativa. NIST 800-63B (veja os outros comentários contra esta resposta). Eu não estava ' t confiante para editar a resposta de Steffen Ullrich ' para fornecer informações adicionais, nem achei que seria apropriado, pois eu abordou o desenvolvimento mais recente na API Pwnd Passwords . Sinta-se à vontade para excluir este comentário e eu ' esquecerei – não ' não conheço outra maneira de responder.