Pesquisadores do portal Cybernews revelaram um megavazamento que expôs cerca de 16 bilhões de combinações de logins e senhas de plataformas como Apple, Google, Facebook, Telegram e serviços governamentais. O incidente foi classificado como o maior já registrado do tipo, segundo os especialistas.
De acordo com o levantamento, os dados foram reunidos a partir de 30 diferentes bancos de informações, que continham entre dezenas de milhões e mais de 3,5 bilhões de registros cada. A maior parte desse material não havia sido identificada em vazamentos anteriores, o que aumenta o risco de exploração por grupos criminosos.
“Isso não é apenas um vazamento – é um plano para exploração em massa. Com mais de 16 bilhões de registros de login expostos, os cibercriminosos agora têm um acesso sem precedentes a credenciais pessoais que podem ser usadas para sequestro de contas, roubo de identidade e ataques de phishing altamente direcionados. O que é especialmente preocupante é a estrutura e a atualidade desses conjuntos de dados – não se trata apenas de vazamentos antigos sendo reciclados. Isso é inteligência nova, com potencial de uso malicioso em larga escala”, alertaram os pesquisadores em nota publicada pelo Cybernews.
Os registros foram organizados no formato URL, login e senha, facilitando o uso em ataques automatizados que podem atingir redes sociais, sistemas bancários e outros serviços online. Os dados foram, em grande parte, obtidos por malwares do tipo infostealer, que capturam informações digitadas pelas vítimas e as enviam a operadores maliciosos. Segundo os especialistas, essas credenciais já estão sendo comercializadas na dark web.
O ex-especialista da Agência de Segurança Nacional dos EUA (NSA) Evan Dornbush, em entrevista à revista Forbes, reforçou o risco: “Não importa o quão complexa seja sua senha. Se o banco de dados que a armazena for comprometido, ela também estará”.
Diante do vazamento, especialistas orientam os usuários a trocar senhas reutilizadas em diferentes serviços e a adotar medidas de segurança adicionais, como autenticação em dois fatores e gerenciadores de senhas. Há ainda o incentivo à migração para passkeys, tecnologia que substitui senhas por métodos como biometria ou códigos locais criptografados.
Apple, Google e Facebook já oferecem suporte a passkeys, e a previsão é de que a tecnologia se torne padrão nos próximos anos.
Um levantamento da empresa brasileira Syhunt, citado no contexto, relembra que, em 2021, mais de 10 milhões de senhas de brasileiros foram expostas em um megavazamento global, incluindo mais de 68 mil de órgãos públicos como o Congresso Nacional e o STF, além de cerca de 8,8 mil da Petrobras.
Recomendações básicas de segurança:
- Troque imediatamente senhas reutilizadas;
- Use combinações diferentes para cada conta;
- Ative a autenticação em dois fatores (2FA);
- Utilize gerenciadores de senhas confiáveis;
- Adote passkeys sempre que possível;
- Desconfie de mensagens suspeitas (phishing).
