1 pontos por GN⁺ 2023-12-05 | 1 comentários | Compartilhar no WhatsApp
  • O Have I Been Pwned (HIBP), lançado por Troy Hunt em 4 de dezembro de 2013, começou como um projeto pessoal para verificar por e-mail se houve vazamento, e 10 anos depois se tornou uma infraestrutura de segurança da qual indivíduos, empresas e governos dependem
  • Foi uma escolha feita sem grandes expectativas de longevidade e num contexto em que era difícil conseguir um domínio .com comum, mas a palavra pwned agora está fortemente associada ao HIBP
  • Com exposição na mídia, depoimento no Congresso dos EUA, colaboração com órgãos de aplicação da lei como o FBI e a NCA do Reino Unido, e o lançamento do Pwned Passwords, o papel do HIBP passou a ir muito além de um simples site de busca
  • O Project Svalbard, iniciativa de 2019 para avaliar a venda do serviço, avançou em meio a estresse pessoal e ao problema da dependência excessiva do serviço em uma única pessoa, mas acabou não se concretizando, e Hunt reafirmou que sua independência é algo muito importante para ele
  • Os vazamentos devem continuar aumentando, e o HIBP pretende migrar para uma operação mais formalizada, mas sem crescer a ponto de se tornar uma grande organização com o tipo de peso que Hunt não deseja

De projeto pequeno a infraestrutura de 10 anos

  • Em 4 de dezembro de 2013, Troy Hunt lançou o serviço com um tuíte dizendo que o “Have I Been Pwned?” tinha começado a funcionar
  • No dia seguinte, publicou no blog como tornou possível pesquisar rapidamente 154 milhões de registros, e os textos marcados com a tag HIBP somam 185 até o post do 10º aniversário
  • A retrospectiva de 10 anos aborda como o serviço foi construído, decisões operacionais, vários incidentes de violação e algumas experiências sobre as quais ele nunca havia falado publicamente

Por que “Pwned”?

  • A escolha do nome foi influenciada pela dificuldade de conseguir um domínio .com com um nome inglês comum, além da baixa expectativa de que o projeto durasse muito tempo
  • “pwned” foi se tornando quase sinônimo do HIBP, e para muita gente essa palavra apareceu pela primeira vez no contexto de “Have I Been..."
  • Materiais que explicam o significado de “pwned” na internet também citam o HIBP, criado por Hunt em 2013, como exemplo
  • Como o nome é frequentemente pronunciado errado ou digitado com erros, Hunt acabou registrando várias variantes de domínio
    • haveibeenpaened.com
    • haveibeenpwnded.com
    • haveibeenporned.com
    • haveibeenprawned.com
    • haveibeenburned.com
    • haveigotpwned.com
    • haveibeenrekt.com
    • haveibeenfucked.com

Exposição na mídia e choque de tráfego

  • O HIBP é frequentemente citado como “o lugar para verificar se você foi afetado” sempre que um vazamento de dados vira notícia no grande público
  • A exposição na mídia aumentou o reconhecimento, mas depois da exibição do Martin Lewis Money Show no Reino Unido em 2016, o tráfego foi tão intenso que o serviço saiu do ar
    • Hunt tirou dessa experiência lições importantes sobre como lidar com picos enormes de tráfego e tomou medidas para que isso não acontecesse novamente
  • Em 2018, o Gizmodo incluiu o HIBP entre os “100 sites que moldaram a internet”, ao lado de Wikipedia, Google, Amazon e outros
  • Em 2014, a TIME escolheu o HIBP como um dos 50 melhores sites do ano
  • O HIBP também apareceu em vários grandes veículos, como The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde e Corriere della Sera

Depoimento no Congresso dos EUA

  • Há cerca de seis anos, Hunt deu depoimento no Congresso dos EUA sobre o impacto dos vazamentos de dados na verificação de identidade
  • Como foi uma audiência pública, há um vídeo do depoimento registrado
  • A experiência de responder às perguntas dos parlamentares ficou como um dos momentos mais marcantes da carreira de Hunt
  • A foto daquele dia está hoje pendurada na parede do lado de fora do escritório dele, lembrando constantemente até onde o HIBP o levou

Project Svalbard e a venda que não aconteceu

  • Em junho de 2019, Hunt revelou a possibilidade de vender o HIBP com o nome de Project Svalbard
  • Um dos principais motivos da decisão naquele momento foi o estresse, e mais de um ano depois ele contou que uma causa importante desse estresse era o divórcio
  • Os problemas no relacionamento criaram uma pressão enorme, e Hunt passou a ver a venda de um projeto que amava, mas que exigia cada vez mais, como uma possível saída
  • O Project Svalbard acabou se transformando em disputa judicial com a ex-esposa, e o valor que provavelmente teria sido realizado com a venda passou a fazer parte do conflito
  • Enquanto conversava com várias empresas de tecnologia em San Francisco sobre uma possível aquisição, Hunt percebeu o quanto sua independência era importante quando um potencial novo chefe perguntou como seria “um dia perfeito no escritório”
  • Seis meses depois, o Project Svalbard terminou quando o acordo em andamento fracassou
    • Ele não pode falar dos detalhes exatos por causa de um NDA, e a formulação pública usada foi “mudanças no ambiente de negócios do lado do comprador”
    • Olhando para trás, Hunt acha que perdeu muita coisa, mas ainda assim se sente muito aliviado com o desfecho

FBI, NCA e colaboração com autoridades

  • Para o Hunt de 10 anos atrás, seria impensável que o FBI acabasse publicamente associado ao HIBP
  • O FBI fornece dados ao HIBP, e a NCA do Reino Unido e vários outros órgãos de aplicação da lei ao redor do mundo também contribuem com dados
  • Vários governos também passaram a falar publicamente sobre o uso do HIBP
  • Em setembro de 2023, a ABC descreveu o papel do HIBP e de Hunt como “um sinal estranho dos tempos”, avaliando que “um homem na web” passou a ocupar um papel estranhamente central na cibersegurança global
  • O objetivo do HIBP é “fazer algo bom depois que algo ruim acontece”, e isso também se conecta com a missão das autoridades de proteger as pessoas
  • Hunt diz que, há 10 anos, não entendia que autoridades frequentemente trabalham com empresas privadas para proteger pessoas, mas hoje mantém relações produtivas com profissionais de várias dessas instituições

O crescimento do Pwned Passwords

  • O plano original nunca foi colocar senhas no HIBP, e Hunt considerava que era preciso evitar a situação em que senhas aparecessem ao lado de nomes de usuário
  • Ainda assim, ele concluiu que uma lista de senhas vazadas separada de dados pessoais poderia ser uma forma de usar dados de violação para um propósito positivo
  • Em 2017, foi lançado o Pwned Passwords
  • Em setembro de 2023, o Pwned Passwords registrou 282 milhões de requisições em um único dia, e o acumulado em 30 dias passou de 6 bilhões
  • Segundo as estatísticas mais recentes no momento da retrospectiva, em uma semana o serviço processou 301,6 milhões de requisições por dia, com 100.0000000000% dessas requisições sendo atendidas a partir do cache da Cloudflare
  • O serviço é gratuito, não exige autenticação, o código e os dados são open source, e o FBI fornece dados
  • Hunt considera que uma parcela considerável das contas comprometidas em ataques de credential stuffing contra grandes serviços online usava senhas que poderiam ter sido bloqueadas

O paradoxo do tratamento de dados de violação

  • O HIBP carrega o paradoxo de lidar com dados vazados, que são produto de crime, ao mesmo tempo em que tenta cumprir uma função de interesse público
  • Algumas pessoas dizem que vão denunciá-lo ao FBI por manter dados roubados, mas Hunt já trabalha em cooperação com o FBI
  • Também houve críticas com base em leis de proteção de dados, especialmente na UE e no GDPR, alegando que ele “processa dados sem consentimento”
  • Hunt argumenta que ninguém consente em entrar num vazamento de dados, e que o incidente em si e o trabalho do HIBP de indexar essas informações para torná-las pesquisáveis são discussões separadas
  • Ao longo de 10 anos, as reclamações foram relativamente poucas, a ponto de dar para contar os casos anuais nos dedos de uma mão
  • Em 10 anos, houve uma reclamação formal encaminhada por um órgão regulador de proteção de dados do governo, e ela foi encerrada depois que Hunt respondeu às perguntas

Pessoas e estrutura operacional

  • No início, o HIBP era um projeto paralelo tocado sozinho por Hunt no tempo livre
  • O trabalho inicial incluía construir o serviço, obter dados de violação, validar, publicar, escrever explicações e até editar pessoalmente mais de 700 logos
  • Hoje, como se tornou uma parte importante da internet da qual muitas pessoas, empresas e governos dependem, o problema da dependência de uma única pessoa ficou maior
  • A análise de venda em 2019 também teve como pano de fundo, em parte, essa estrutura dependente apenas de Hunt
  • Havia a opção de contratar e montar equipe como uma empresa comum, mas Hunt não vê com entusiasmo responsabilidades como contrato de trabalho, negociação salarial, avaliação de desempenho, licença médica e férias
  • O papel de Charlotte

    • No início de 2021, Charlotte, que mais tarde se tornaria sua esposa, começou a trabalhar no HIBP
    • Charlotte vinha de oito anos como gerente de projetos da conferência NDC, sediada na Noruega, lidando com desenvolvedores de software, palestrantes, participantes, patrocinadores e representantes de empresas
    • Embora não fosse da área técnica, ela tinha formação em PR e empreendedorismo, e já estava familiarizada com o mundo de tecnologia em que o HIBP está inserido
    • Charlotte cuida do onboarding de assinantes corporativos, de tickets de suporte para a API e assinantes de domínio, além de tarefas de contabilidade e tributação
  • O papel de Stefán Jökull Sigurðarson

    • No início de 2023, Stefán Jökull Sigurðarson entrou em meio período para cuidar de várias tarefas de desenvolvimento, como escrever código, organizar e fazer migrações
    • Stefán acompanha o serviço desde o lançamento do HIBP e, no começo de 2018, na EVE, desenvolveu uma das primeiras grandes integrações da API PwnedPasswords v2
    • Ele vê o HIBP como parte da sua trajetória em palestras públicas, contribuições open source, atuação como MVP e trabalho por uma internet mais segura
    • Para Hunt, é importante que Stefán veja o HIBP não apenas como emprego, mas como uma paixão

Casos de violação marcantes

  • Em 10 anos, os vazamentos incluídos no HIBP chegaram a 731
  • Ashley Madison

  • Collection #1

    • No início de 2019, elevou muito o estresse de Hunt e influenciou fortemente sua decisão de considerar a venda do serviço
    • Com 773 milhões de registros, continua sendo o maior vazamento já incluído no HIBP até o momento da retrospectiva
  • Rosebutt

    • Um caso que mostrou que até vazamentos graves às vezes podem gerar momentos absurdos
  • Shit Express

    • Um site que enviava pedaços de fezes anonimamente foi violado, abalando sua promessa de anonimato
    • Depois disso, Hunt escreveu sobre como alegações de anonimato muitas vezes são profundamente enganosas

Para onde vai agora

  • A rotina diária de Hunt se parece mais com checar e-mails e os eventos da noite anterior pela manhã, e então agir de acordo com o que aquele dia exigir
  • Esse modo de operar se conecta ao motivo pelo qual ele não quer que o HIBP cresça a ponto de virar uma organização com responsabilidades muito maiores
  • Ao mesmo tempo, o HIBP está gradualmente se tornando mais formalizado
    • Há 3 anos, Hunt fazia 100% de tudo sozinho
    • Há 1 ano, ele ainda fazia sozinho todo o trabalho técnico
    • Há 6 meses, ainda não existia sistema de tickets de suporte
  • Hunt quer que o HIBP dure mais do que ele próprio, mas sem se tornar um peso que o prenda no processo
  • Ele acredita que mais vazamentos continuarão acontecendo e diz que, recentemente, parece haver um aumento rápido de casos de ransomware
  • Ainda resta a dúvida sobre se as pessoas cujos e-mails, documentos e outros dados são expostos por ransomware chegam a descobrir essa exposição
  • Indexar esse tipo de dado não é simples por vários motivos, mas ele considera que isso parece um trabalho cada vez mais valioso

1 comentários

 
GN⁺ 2023-12-05
Opiniões no Hacker News
  • Troy Hunt é uma figura realmente valiosa, e, se você é desenvolvedor de aplicações web, não há desculpa para não implementar defesas contra credential stuffing.
    O ideal talvez seja autenticação em duas etapas[1], mas comparar com o banco de dados de senhas com hash do Hunt também é uma defesa bem boa sem impor carga adicional ao usuário.
    Não tenho dados para comprovar, mas acredito que a esmagadora maioria das contas comprometidas venha de credential stuffing ou reutilização de senhas. Fico surpreso quando ouço que grandes empresas não fazem esse tipo de verificação, e a configuração é simples o bastante para ser feita em algo como um dia.
    Se você é um CTO jovem ou engenheiro de webapp em estágio inicial, um dia pode receber uma enxurrada de ligações à 1h da manhã, ver o site apanhando, achar primeiro que é DDoS, depois perceber que a maior parte do tráfego está indo para a página de login e ficar arrepiado ao notar que algumas dessas tentativas estão realmente conseguindo entrar. Depois disso, é preciso passar a noite respondendo ao incidente e ainda enviar notificações de violação, o que é realmente doloroso.
    O banco de dados gratuito do Troy Hunt provavelmente vai reduzir essa dor, então é melhor simplesmente fazer.

    1. https://cheatsheetseries.owasp.org/cheatsheets/Credential_St...
    2. Casos como o da 23andMe. https://news.ycombinator.com/item?id=37794379
    • Em um evento de uns 10 anos atrás em que um funcionário do FBI estava apresentando, ouvi a história de um administrador de sistemas que pegou o banco de dados de senhas com hash da empresa, comparou com hashes de vazamentos conhecidos e enviou redefinições obrigatórias e e-mails de orientação aos funcionários que usavam senhas reutilizadas — e acabou preso.
      Um funcionário ficou indignado, dizendo que aquilo era invasão de privacidade, e não lembro quem iniciou a ação legal, mas a conclusão do funcionário do FBI e do juiz foi que, mesmo que o administrador de sistemas tivesse a intenção de melhorar a segurança, o simples ato de acessar os hashes de senha sob sua responsabilidade foi considerado uma invasão criminosa de privacidade.
      Se o funcionário do FBI não inventou a história, parece prudente passar por uma revisão do jurídico antes de verificar se os hashes de senha dos funcionários estão no haveibeenpwned.
    • Além da autenticação em duas etapas, aplicar limite de taxa no endpoint de login por endereço IP e por nome de usuário é uma defesa muito mais robusta contra esse ataque.
      Por exemplo, se houver 20 falhas de login no último minuto a partir do mesmo IP ou para o mesmo nome de usuário, bloqueia-se aquele IP ou nome de usuário por 15 minutos. Muitos API gateways, ingresses de K8s etc. dão suporte a isso com muita facilidade; e, se não, dá para guardar em algo como Redis a contagem das tentativas recentes de login e adicionar isso com poucas linhas de código.
      Comparar com o banco de dados do HIBP também é uma boa opção, mas, para barrar esse ataque, o limite de taxa é muito mais eficaz.
    • Não entendo bem o procedimento. Se o banco de dados contém senhas com hash, como posso saber se meu site e o banco de dados usam o mesmo sal e método de hash?
      Por exemplo, mesmo que o Tumblr tenha sido hackeado e minha senha hunter2 tenha vazado, se o Tumblr usava um HMAC-MD5 simples com sal e meu site naturalmente usa argon2 com outro sal, os hashes resultantes serão diferentes mesmo para a mesma senha. Não entendo como isso ajuda a prevenir credential stuffing.
    • Se você está criando um novo login/autenticação do zero, é melhor não receber senhas e armazená-las no banco de dados.
      É melhor configurar OAuth social, SSO ou e-mails com magic link e transformar isso em problema de outra pessoa.
    • Não entendo por que eu deveria sentir culpa por um usuário usar 1234 como senha.
      Se não for um site voltado a pessoas vulneráveis, vejo isso como responsabilidade do usuário. Como em outro comentário, esse tipo de usuário provavelmente vai resolver o erro da maneira mais fácil possível, como 1234nomedosite.
      Acho que qualquer restrição adicionada ao campo de senha reduz a entropia e, ainda que minimamente, diminui a segurança de todos.
  • Lembro que este site antes oferecia uma ótima experiência, mas agora parece uma máquina de fazer dinheiro em que é preciso pagar US$ 169,50 por ano para ver 100 contas vazadas.
    Uso um endereço de e-mail único para cada site para detectar vazamentos de dados; quando tentei pesquisar os resultados de um domínio cuja propriedade eu já havia verificado antes, recebi o erro de que “é necessária uma assinatura de tamanho suficiente para pesquisar domínios com mais de 10 contas vazadas”.
    Pior ainda é que Troy inclui até coleções de dados públicos como “vazamentos”, inflando artificialmente a cota de contas. Por exemplo, quando uma coleção de contatos públicos raspados do GitHub vazou, ela também contou como vazamento, embora meu endereço de e-mail tivesse sido explicitamente publicado por mim.
    Para um serviço de baixo custo como esse, eu estaria disposto a pagar de US$ 5 a US$ 12 por ano, mas o preço atual é absurdo.

    • Passei pela mesma coisa e gostaria que houvesse um plano de preços separado para pessoas como nós. Talvez valha a pena perguntar.
    • Se você baixar o banco de dados na DarkNet e rodar localmente, não precisa pagar.
      A desvantagem é ter que manter o banco de dados por conta própria e atualizá-lo com frequência. Tenho visto surgir muitos serviços desse tipo, que cobram para vender acesso a bancos de dados via API.
    • Operar seu próprio domínio de e-mail, usar endereços diferentes para cada site e ainda escanear vazamentos envolvendo seu domínio pessoal é um modo de uso bastante específico.
      Acho exagero ver esse caso de uso tão específico como uma vaca leiteira para Troy Hunt.
    • Eu uso o mesmo método e estava me perguntando por que fazia tanto tempo que não recebia alertas de vazamento.
      Não me lembro de ter visto um aviso sobre essa mudança.
    • Mais um caso de “tudo como serviço”.
      Começa como um bom serviço, mas, quando o uso cresce, coloca recursos atrás de um paywall e reduz o serviço gratuito a ponto de ficar quase inútil: um modelo freemium horrível. O Facebook é ruim, mas nem chegou a esse ponto; o “Facebook gratuito” só passou a ter mais rastreamento, mas em termos de recursos continua como em 2010.
  • O surgimento de variações como haveibeenburned.com, haveigotpwned.com, haveibeenrekt.com e haveibeenfucked.com, sugerida por alguém depois que se soube que o PornHub seguia o site, é bem engraçado como efeito colateral da fama na mídia

    • Sempre gostei do blog do PornHub: https://www.pornhub.com/insights/
    • O último domínio até poderia ser interessante como repositório de revenge porn, mas a distribuição é ilegal em muitas jurisdições
      Em vez disso, talvez fosse possível criar um banco de dados de hashes de reconhecimento facial de revenge porn e permitir que a pessoa enviasse um hash semelhante do próprio rosto para verificar se ele aparece em algum lugar online
    • Alguns anos atrás, eu tinha um casal de amigos em que a esposa estava grávida, e eles realmente ficaram um pouco constrangidos com o fato de que “todo mundo vai saber que a gente ‘fez’”
      Era um nível de vergonha que eu nem imaginava
    • É uma prova de que as regras da internet funcionam. Se algo existe, há uma versão pornô dele
  • Gosto muito dos textos informativos do Hunt
    Lembro de ter lido sobre como usar k-anonimato para comparar senhas com arquivos pwned sem enviar informações pessoais reais, e isso me levou a estudar o conceito e depois usá-lo em um projeto no trabalho
    Às vezes penso em como eu teria feito se não tivesse lido aqueles textos sobre verificar sem enviar dados pessoais reais

  • Golpistas de extorsão estão usando bancos de dados de senhas pwned para criar e-mails de phishing bastante convincentes
    Algo como: “Instalei uma ferramenta de acesso remoto no seu sistema e te observei pela webcam. A prova do hack é esta senha. Envie US$ 1.800 em BTC para este endereço e não vá à polícia. Da próxima vez, use um gerenciador de senhas”. Fico curioso se alguém realmente cai nesse tipo de golpe
    Imagino que a maioria seja barrada por filtros de spam; eu só vi quando passou pelos filtros SPF/DKIM e então treinei o filtro adicionalmente. Parece bem esperto
    Sou grato pelo serviço em si e também gosto de ler os textos do Troy Hunt. O HIBP é excelente

    • Um familiar me ligou preocupado, perguntando se aquele e-mail era real
      Não era uma senha antiga, mas sim o endereço postal completo e os últimos 4 dígitos do cartão de crédito, e há pessoas que realmente acreditam
    • A consulta ao Pwned Passwords retorna apenas a quantidade de vazamentos, sem hash nem senha em texto claro
      Só com esse recurso, esse tipo de ataque não é possível
    • Não sei se alguém de fato caiu, mas já ouvi falar de usuários que se assustaram e correram para confirmar com a equipe de TI
      Eu mesmo recebi um ou dois e-mails assim, e não fazia a menor ideia de em qual site eu tinha usado aquela senha bastante fraca
    • Uma vez recebi um e-mail que continha minha senha em texto claro, e foi bem desagradável
      Pesquisei rapidamente e vi que era uma senha que eu não usava em nada que considero importante, então deixei para lá, mas mesmo sabendo que era uma senha antiga ainda fiquei incomodado
      Se eu não usasse um gerenciador de senhas, não teria conseguido verificar de imediato onde aquela senha foi usada e teria que forçar a memória; é difícil imaginar essa sensação
  • O impacto do HaveIBeenPwned na conscientização dos usuários é notável
    Por outro lado, sinto que a SpyCloud, que tem um conjunto de dados 30 vezes maior e trabalha diretamente com empresas para realmente mitigar a reutilização de senhas, não recebe reconhecimento suficiente
    Se você já teve que redefinir a senha ao fazer login em um grande site, ou recebeu um e-mail dizendo para trocar uma senha porque ela foi usada em vários lugares, há uma boa chance de a SpyCloud estar por trás disso

    • Talvez não tenha sido a intenção, mas essa formulação soa como se o HIBP não trabalhasse diretamente com empresas para reduzir a reutilização de senhas
      Na prática, ele trabalha. Por exemplo, há colaborações com o 1Password e outros gerenciadores de senhas, Firefox, FBI e os governos do Reino Unido e da Austrália
    • Comparar um serviço gratuito que ajuda milhões de pessoas com uma empresa que exige assinatura para qualquer uso não é uma comparação no mesmo plano
      Esta última não é útil para a maioria das pessoas
    • Acredito que o número de pessoas que realmente reduziram a reutilização de senhas graças à integração dos dados gratuitos de senhas pwned do Troy seja maior do que o número de clientes da SpyCloud
  • Para quem se preocupa com privacidade, aqui está como remover suas informações da busca pública
    https://haveibeenpwned.com/OptOut

    • Se meu e-mail ainda estiver em lugares como Collection #1 ou Anti Public Combo List, ser excluído do HIBP não parece servir de muita coisa
      Quem quiser fazer algo malicioso com o e-mail provavelmente vai baixar as listas originais completas, em vez de raspar um site agregador
    • Fico curioso se eles também oferecem exclusão em nível de domínio
    • Mas é preciso resolver um Google ReCaptcha, então pessoas sensíveis à privacidade provavelmente não vão gostar
      Como referência, está escrito que “o administrador do domínio ao qual o endereço de e-mail pertence ainda poderá ver você na busca por domínio”
  • Fico me perguntando quantas vítimas de stalking, ao longo dos últimos 10 anos, descobriram que o agressor usou o HaveIBeenPwned como uma ferramenta simples de orientação para encontrar e invadir suas contas e sua vida privada.
    Claro, a posição do site é que a vítima deve se cadastrar antes que um agente mal-intencionado use o serviço e desativar a exposição nas buscas.
    Ou seja, dar a outros usuários o choque de “suas informações estão por aí!” assim que digitam um endereço é mais importante do que a segurança do usuário, em vez de mostrar isso só depois da verificação do e-mail.

    • Se colocassem verificação de e-mail, o custo de operar o serviço aumentaria muito e talvez ele não fosse sustentável.
      Se alguém tem o endereço de e-mail de uma pessoa, será que realmente precisa do HIBP para descobrir onde esse endereço foi usado? Só o Google já não retorna muitos resultados?
    • Concordo. É ainda pior porque entrega 90% das informações de que o atacante precisa, mas não informa à vítima quais dados vazaram.
      Eu gostaria de ver o hash para conseguir descobrir qual senha foi comprometida.
    • Você pode explicar melhor como o HIBP poderia ser abusado? Ele só verifica se o e-mail está em uma lista de vazamentos.
  • “Andar de jet ski e fazer o que eu quiser” — será que Troy Hunt é uma variante do Mobius?

  • Fico curioso se ele já escreveu bastante sobre os detalhes do divórcio.
    Dá para entender que ficou longo e caro por causa da divisão de 50% dos bens e do processo de definir quem fica com o quê?