Foto: Freepik
Um banco de dados contendo 149 milhões de senhas foi encontrado exposto na Internet esta semana por um pesquisador, incluindo credenciais de serviços amplamente usados como Gmail, Instagram, Facebook, Netflix e o portal gov.br. Embora o material tenha sido removido após alerta de pesquisadores, o risco para usuários permanece alto.
Se você reutiliza senhas em diferentes serviços, criminosos podem usar essas credenciais vazadas para tentar acessar todas as suas outras contas. Mesmo que você não tenha certeza se foi afetado, há medidas urgentes que podem proteger suas contas de ataques criminosos. Confira a seguir dicas que servirão não só para este caso isolado, mas para outros possíveis vazamentos também. Afinal, sabe-se que de tempos em tempos surgem notícias de exposição de dados, como aconteceu recentemente na grande rede de shoppings Multiplan.
O que aconteceu e por que você deve se preocupar
O pesquisador de cibersegurança Jeremiah Fowler descobriu 96 GB de dados expostos publicamente, contendo e-mails, nomes de usuários e senhas de vítimas ao redor do mundo. Segundo o Google, essas informações foram coletadas por malware instalado em dispositivos pessoais e depois agregadas em um banco de dados único.
O material continha:
- 48 milhões de contas Gmail
- 17 milhões do Facebook
- 6,5 milhões do Instagram
- Milhões de contas de Yahoo!, Outlook, Netflix, TikTok e outros
- Credenciais de sites governamentaisgov., incluindo gov.br
Mesmo sem saber se sua senha específica estava na lista, você está em risco se usa a mesma senha em vários lugares. Criminosos realizam ataques chamados “credential stuffing”, onde testam combinações vazadas em dezenas ou centenas de serviços diferentes. Se você usa “maria2024” no Gmail e no Instagram, comprometer uma conta pode significar comprometer todas.
Com acesso às suas contas, atacantes podem roubar dinheiro, aplicar golpes em seus contatos, acessar documentos pessoais sensíveis ou comprometer informações de trabalho e serviços governamentais.
Posicionamento
O Google, em nota, afirmou estarem cientes de relatos sobre um conjunto de dados contendo uma variedade de credenciais, incluindo algumas do Gmail. “Esses dados representam uma compilação de logins de ‘infostealer’ – credenciais coletadas de dispositivos pessoais por malware de terceiros – que foram agregadas ao longo do tempo. Monitoramos continuamente esse tipo de atividade externa e temos proteções automatizadas em vigor que bloqueiam contas e forçam a redefinição de senha quando identificamos credenciais expostas“, explicou porta-voz do Google.
Além disso, a empresa lembra que esse tipo de ataque não foi direcionado ao Gmail, em específico, e que a plataforma conta com diversos mecanismos de segurança, impedindo, por exemplo, que mais de 99,9% de spam, phishing e malware cheguem às caixas de entrada dos usuários.
Ao G1, assim como o Google, o Ministério da Gestão negou nesta sexta (23) qualquer registro de invasão ou vazamento na plataforma gov.br, e orientou usuários a não compartilharem suas senhas e a ativarem verificação em duas etapas, que aumenta a proteção.
Entramos também em contato com as outras plataformas citadas na matéria e em breve atualizaremos.
Medidas urgentes para proteger suas contas
Troque as suas senhas
Comece pelos serviços mais críticos: e-mail, bancos, redes sociais e contas governamentais. Crie senhas longas (mínimo 12 caracteres), únicas e complexas para cada serviço. Evite padrões óbvios como sequências numéricas, datas de aniversário ou nomes de familiares.
Vale lembrar também que o ideal é que cada serviço tenha uma senha diferente. Reutilizar senhas é o erro número um que facilita ataques em massa.
Ative a autenticação em dois fatores agora
A verificação em duas etapas (2FA) é sua melhor defesa. Mesmo que alguém descubra sua senha, não conseguirá acessar sua conta sem o segundo fator de autenticação, geralmente um código enviado ao celular ou gerado por aplicativo.
Habilite 2FA em tudo o que for possível, principalmente, em: e-mail, redes sociais, serviços bancários, streaming e qualquer conta que contenha informações pessoais ou financeiras.
Use um gerenciador de senhas
Memorizar dezenas de senhas complexas e únicas pode ser muito difícil ou até mesmo impossível. Gerenciadores como Bitwarden, 1Password ou LastPass resolvem esse problema, já que são seguros e criam senhas fortes automaticamente, além de armazená-las com segurança. Você só precisa lembrar de uma senha mestra. Isso elimina a tentação de reutilizar senhas e garante que cada conta tenha proteção robusta.
Verifique se você foi afetado
Acesse o site Have I Been Pwned, uma ferramenta reconhecida no meio de segurança digital, e digite seu e-mail. O site mostra se suas credenciais aparecem em vazamentos conhecidos publicamente. Se seu e-mail aparecer na lista, troque imediatamente a senha em todos os serviços onde usava aquela combinação de e-mail e senha.
Sinais de que sua conta foi comprometida
- Notificações suspeitas: E-mails ou mensagens de “tentativa de login” vindos de locais ou dispositivos desconhecidos são o primeiro indício de que alguém está tentando acessar sua conta.
- Solicitações não autorizadas: Mensagens de redefinição de senha que você não pediu podem indicar que alguém está tentando tomar controle da sua conta.
- Atividades estranhas: Posts, comentários ou mensagens que você não fez, compras desconhecidas, alterações nas configurações de privacidade ou contatos recebendo mensagens suspeitas vindas do seu perfil.
- Impossibilidade de login: Se sua senha habitual não funciona mais e você não a alterou, alguém pode ter mudado e tomado controle da conta.
Ao notar qualquer um desses sinais, aja imediatamente: acesse as configurações de segurança, force logout de todos os dispositivos, troque a senha, ative 2FA e revise atividades recentes.
Erros comuns que colocam você em perigo
Reutilizar a mesma senha em vários serviços
Este é o erro mais grave e comum. Usar “joao123” no Gmail, Facebook e Netflix significa que, se uma conta vaza, todas as outras ficam vulneráveis ao mesmo ataque – independente de a senha ser construtivamente “forte” ou não.
Armazenar senhas de forma insegura
Salvar senhas em notas do celular sem proteção, deixar o navegador lembrar de tudo sem configurar uma senha mestra, anotar senhas em papéis deixados à vista ou em planilhas desprotegidas são práticas que facilitam o roubo.
Ignorar atualizações de segurança
Segundo o Google, as senhas deste vazamento foram coletadas por malware instalado em dispositivos pessoais. Não atualizar sistemas operacionais, navegadores e aplicativos deixa vulnerabilidades abertas que criminosos exploram para instalar programas espiões.
Clicar em links e anexos suspeitos
E-mails de phishing (falsificação) são uma das formas mais comuns de instalar malware que rouba senhas. Desconfie de mensagens urgentes pedindo cliques imediatos, principalmente se vêm de remetentes desconhecidos ou com erros de português.
Do Techtudo
0 Comentários