O TEMA DO FÓRUM ESTÁ EM MANUTENÇÃO. FEEDBACKS AQUI: ACESSAR

Sphinx.bot

Iniciado por Corvo, 01/04/2021 às 11:13

01/04/2021 às 11:13 Última edição: 30/04/2021 às 08:31 por Corvo

Sphinx.bot é um utilitário para identificação de dados vazados, mais especificamente email e senha. Diferentemente do Have I Been Pwned, as senhas ou hashes vazadas são mostrados ao usuário, para que possa conferir a veracidade e data aproximada do vazamento. Vazamentos deste tipo são bem comuns, mas nem sempre chegam ao conhecimento do público geral. Porém, mesmo que estas informações estejam disponíveis para qualquer um que pesquise, algumas medidas de segurança foram tomadas:

  • Tudo o que você pesquisar utilizando o Sphinx.bot será registrado. Você pode, inclusive, solicitar um resumo das últimas buscas realizadas em nome do seu endereço de email.
  • Você pode solicitar a remoção de dados diretamente pelo bot. É necessária a posse do email em questão ou meios externos de provar que é seu.
  • Recomendo que altere as senhas de seus respectivos emails ao menos uma vez ao mês. Novos lançamentos serão incluídos no banco de dados do Sphinx.bot  trinta dias após sua descoberta.

O código é aberto e está disponível no Github com pequenas alterações para esconder informações sensíveis do bot em si. Neste momento, são mais de cem milhões de endereços disponíveis para consulta. O Sphinx.bot estará disponível em várias plataformas, mas no momento apenas no Discord em seu próprio canal. Para saber quais comandos usar, leia as mensagens fixadas. Gentileza utilizar o canal apropriado para consultas, porque mensagens fora do modo lento podem interferir no funcionamento do bot.

Esta é uma versão beta e pode apresentar instabilidade e alguns bugs. Isto posto, o bot não permanece online o tempo todo.

Eu tinha medo de colocar qualquer conta de e-mail nesse tipo de site por que suspeitava que nesse momento poderia disparar a "busca de vazamentos" por justamente o usuário cogitou a probabilidade.

Não sei se me fiz entender.

01/04/2021 às 17:54 #2 Última edição: 23/04/2021 às 21:13 por Corvo
Acho que entendi. Realmente os spiders pegam emails de todo lugar. Redes sociais, fóruns, histórico de commits no Github/Gib Bucket, enfim. As credenciais é que requerem um pouquinho mais de trabalho. Pra elas é muito comum o pessoal usar Trello, grupos (supostamente) privados do Telegram ou WhatsApp (alguns spiders conseguem acessar), ou esquecem no código mesmo antes de subir pra um repositório ou repl.io da vida.

A maior parte dos que peguei são do pastebin, fóruns onde os hackermen da vida postam vazamentos e de empresas que fazem o mesmo deste bot, mas cobrando uma fortuna em euros para os interessados. Apesar de a informação estar publicamente disponível, o público geralmente não fica sabendo.