(O Globo) Um vazamento de dados “sem precedentes” expôs aproximadamente bilhões de logins e senhas de serviços como Apple, Google, Facebook, Telegram e até plataformas governamentais. A revelação foi feita por pesquisadores do portal Cybernews, e levantou alerta máximo entre autoridades de segurança digital e especialistas do setor. Para eles, o episódio é o maior incidente do tipo já registrado.
Segundo os investigadores, os dados foram reunidos a partir de 30 bases diferentes, cada uma contendo de dezenas de milhões a mais de 3,5 bilhões de registros. A maior parte dessas informações nunca havia sido identificada em vazamentos públicos anteriores, o que indica que se trata de conteúdo novo e altamente explorável por criminosos virtuais.
A maior parte do conjunto de informações comprometidas estaria “provavelmente relacionado à população de língua portuguesa”, com mais de 3,5 bilhões de registros, informaram os pesquisadores.
No entanto, pesquisadores identificaram que a maior parte dos dados vazados resulta da combinação de três fontes: malwares que roubam informações, ataques que utilizam senhas vazadas para tentar acessar várias contas e vazamentos antigos reaproveitados, segundo o portal Cybernews.
Devido à complexidade dos arquivos, segundo os especialistas, não seria possível determinar com precisão quantas pessoas ou contas foram afetadas, mas há indícios claros de que muitas informações se repetem entre os diferentes conjuntos.
“Isso não é apenas um vazamento – é um plano para exploração em massa. Com mais de 16 bilhões de registros de login expostos, os cibercriminosos agora têm um acesso sem precedentes a credenciais pessoais que podem ser usadas para sequestro de contas, roubo de identidade e ataques de phishing altamente direcionados. O que é especialmente preocupante é a estrutura e a atualidade desses conjuntos de dados – não se trata apenas de vazamentos antigos sendo reciclados. Isso é inteligência nova, com potencial de uso malicioso em larga escala”, disseram os pesquisadores em nota divulgada pelo site Cybernews.
Vazamento expõe riscos
Os dados foram organizados em formato de URL, login e senha, o que facilita o uso por grupos especializados em ataques cibernéticos. As informações podem ser usadas em tentativas de invasão automatizadas, direcionadas a qualquer tipo de conta online, de redes sociais a sistemas bancários.
Boa parte das credenciais foi obtida por meio de malwares do tipo infostealer, programas que capturam tudo o que a vítima digita, como senhas e dados bancários, e enviam essas informações a operadores maliciosos. As informações já estariam disponíveis para venda na dark web a preços acessíveis, o que amplia o risco de ataques.
Ex-especialista da Agência de Segurança Nacional dos Estados Unidos (NSA) e CEO da Desired Effect, Evan Dornbush disse à revista Forbes que, em casos como este, a complexidade da senha não importa.
— Não importa o quão complexa seja sua senha. Se o banco de dados que a armazena for comprometido, ela também estará — explica.
Procurada, a Apple e Facebook disseram que não comentariam o caso, enquanto o Google informou que não possui ainda um posicionamento sobre o assunto, mas um porta-voz informou que o problema não aconteceu por conta de uma violação de dados diretamente na empresa.
As empresas não informaram se o vazamento afetou o Brasil.
Vazamento de senhas: o que fazer
Considerado um vazamento sem precedentes, com 16 bilhões de senhas expostas, da Apple, Google e Facebook ainda a ser confirmado sua extensão, especialistas recomendam para se proteger das consequências desse roubo de dados, de imediato a troca de senhas. Para eles, o uso de gerenciadores de senhas e a ativação da autenticação em dois fatores são medidas consideradas mínimas nesse contexto.
Outra medida que as pessoas podem tomar para ter mais segurança nas redes, segundo analistas, são os passkeys, um padrão de login que substitui senhas por métodos biométricos ou códigos locais criptografados, como reconhecimento facial ou digital.
Veja as recomendações de especialistas
Troque senhas que vêm sendo reutilizadas em contas diferentes.Crie senhas fortes e únicas, combinando letras maiúsculas e minúsculas, números e caracteres especiais. Uma técnica sugerida é transformar uma frase ou citação em uma senha complexa, como “Wi4ga/di0mL&vi@sa” a partir de “Wingardium Leviosa”. recomenda a empresa global de cibersegurança Kaspersky.
Mantenha sempre senhas diferentes para cada serviço ou conta.
Ative autenticação em dois fatores, em que a digitação da senha é seguida do envio de um código por SMS para confirmar o login.
Use gerenciadores de senhas, que mantêm as senhas armazenadas com criptografias.
Migre para passkeys, padrão de login que substitui senhas por métodos biométricos ou códigos locais criptografados, como reconhecimento facial ou digital.
Fique atento às mensagens suspeitas, principalmente as que pedem que você clique em algum link (phishing), que roubam seus dados uma vez digitados. Nunca clique em links enviados assim, sem um requerimento prévio do usuário.
Cuidado com sites que surgem após vazamentos. Depois da exposição das informações, costumam surgir alguns sites que afirmam saber se os dados foram vazados. Antes de entrar para verificar se é uma das vítimas do vazamento, veja já conhece o site. Desconfie de soluções prontas, que podem na verdade aumentar sua exposição aos criminosos digitais.
Use softwares antivírus atualizados, com recursos que podem indicar links suspeitos na internet e fazem verificações regulares, inclusive em smartphones.
Remova senhas salvas em navegadores, aconselha a Kaspersky. Navegadores são frequentemente a causa de violações de dados. É mais seguro usar um gerenciador de senhas, pois hackers podem roubar senhas salvas em navegadores em segundos.
