Sphinx.bot
Sphinx.bot é um utilitário para identificação de dados vazados, mais especificamente email e senha. Diferentemente do Have I Been Pwned (https://haveibeenpwned.com/), as senhas ou
hashes vazadas são mostrados ao usuário, para que possa conferir a veracidade e data aproximada do vazamento. Vazamentos deste tipo são bem comuns, mas nem sempre chegam ao conhecimento do público geral. Porém, mesmo que estas informações estejam disponíveis para qualquer um que pesquise, algumas medidas de segurança foram tomadas:
- Tudo o que você pesquisar utilizando o Sphinx.bot será registrado. Você pode, inclusive, solicitar um resumo das últimas buscas realizadas em nome do seu endereço de email.
- Você pode solicitar a remoção de dados diretamente pelo bot. É necessária a posse do email em questão ou meios externos de provar que é seu.
- Recomendo que altere as senhas de seus respectivos emails ao menos uma vez ao mês. Novos lançamentos serão incluídos no banco de dados do Sphinx.bot trinta dias após sua descoberta.
O código é aberto e está disponível no Github (https://github.com/rf-peixoto/Sphinx.bot) com pequenas alterações para esconder informações sensíveis do bot em si. Neste momento, são mais de
cem milhões de endereços disponíveis para consulta. O
Sphinx.bot estará disponível em várias plataformas, mas no momento apenas no
Discord em seu próprio canal (https://discord.gg/m2vvU67qCg). Para saber quais comandos usar, leia as mensagens fixadas. Gentileza utilizar o canal apropriado para consultas, porque mensagens fora do modo lento podem interferir no funcionamento do bot.
Esta é uma versão beta e pode apresentar instabilidade e alguns bugs. Isto posto, o bot não permanece online o tempo todo.
Eu tinha medo de colocar qualquer conta de e-mail nesse tipo de site por que suspeitava que nesse momento poderia disparar a "busca de vazamentos" por justamente o usuário cogitou a probabilidade.
Não sei se me fiz entender.
Acho que entendi. Realmente os spiders pegam emails de todo lugar. Redes sociais, fóruns, histórico de commits no Github/Gib Bucket, enfim. As credenciais é que requerem um pouquinho mais de trabalho. Pra elas é muito comum o pessoal usar Trello, grupos (supostamente) privados do Telegram ou WhatsApp (alguns spiders conseguem acessar), ou esquecem no código mesmo antes de subir pra um repositório ou repl.io da vida.
A maior parte dos que peguei são do pastebin, fóruns onde os hackermen da vida postam vazamentos e de empresas que fazem o mesmo deste bot, mas cobrando uma fortuna em euros para os interessados. Apesar de a informação estar publicamente disponível, o público geralmente não fica sabendo.