Senhas
Atualização, 20 de junho de 2025: Esta matéria, publicada originalmente em 18 de junho, foi atualizada para incluir detalhes sobre como migrar de senhas para a tecnologia de chave de acesso, muito mais segura, se você for usuário da Apple, Facebook ou Google. Agora, também há informações adicionais de profissionais de segurança cibernética sobre o megavazamento de 16 bilhões de credenciais.
É assustador o relatório de 23 de maio, confirmando o vazamento de dados de login, totalizando impressionantes 184 milhões de credenciais comprometidas , espero que esteja sentado agora. Pesquisadores acabaram de confirmar o que certamente é a maior violação de dados da história, com a exposição de um número quase inacreditável de 16 bilhões de credenciais de login, incluindo senhas. Como parte de uma investigação em andamento iniciada no início do ano, os pesquisadores postularam que o vazamento massivo de senhas é obra de múltiplos infostealers .
Aqui está o que todos precisam saber e fazer.
Comprometimento de senhas não é brincadeira; leva ao comprometimento de contas e isso leva, bem, ao comprometimento de quase tudo o que você preza neste mundo centrado na tecnologia em que vivemos. É por isso que o Google está pedindo a bilhões de usuários que substituam suas senhas por chaves de acesso muito mais seguras. É por isso que o FBI está alertando as pessoas para não clicarem em links em mensagens SMS. É por isso que senhas roubadas estão à venda, aos milhões , na dark web para qualquer pessoa com a quantia mínima necessária para comprá-las. E é por isso que esta última revelação é, francamente, tão preocupante para todos.
De acordo com Vilius Petkauskas, da Cybernews, cujos pesquisadores investigam o vazamento desde o início do ano, “30 conjuntos de dados expostos, contendo de dezenas de milhões a mais de 3,5 bilhões de registros cada”, foram descobertos. No total, Petkauskas confirmou
que o número de registros comprometidos chegou a 16 bilhões. Pense nisso por um momento. Essas coleções de credenciais de login, esses bancos de dados abarrotados de senhas comprometidas, constituem o que se acredita ser o maior vazamento desse tipo da história.
“Agências de inteligência e agentes de ameaças usam essas listas e as acumulam na dark web”, disse Lawrence Pingree, vice-presidente da Dispersive, “às vezes reempacotadas várias vezes, às vezes vendidas individualmente”. Como Pingree me disse, é difícil dizer se se trata de um vazamento reempacotado ou não, sem examinar todo o conjunto de dados, desduplicar os dados e compará-los com conjuntos de dados de violações independentes. No entanto, os pesquisadores da Cybernews têm certeza de que não. Seja como for, como disse Pingree, “16 bilhões de registros é um número grande”, e esses dados de credenciais “podem ser mal utilizados e são mal utilizados — é isso que os torna valiosos”.
O vazamento de 16 bilhões de senhas, contido em diversos conjuntos de dados supermassivos, inclui bilhões de credenciais de login de redes sociais, VPNs, portais de desenvolvedores e contas de usuários de todos os principais fornecedores. Surpreendentemente, me disseram que nenhum desses conjuntos de dados havia sido relatado como vazamento anteriormente; trata-se de dados novos. Bem, quase nenhum: o banco de dados de 184 milhões de senhas que mencionei no início do artigo é a única exceção.
“Isso não é apenas um vazamento – é um projeto para exploração em massa”, disseram os pesquisadores. E eles estão certos. Essas credenciais são o ponto zero para ataques de phishing e invasão de contas. “Não se trata apenas de antigas violações sendo recicladas”, alertaram, “trata-se de inteligência nova e armamentável em escala”.
A maior parte dessa inteligência estava estruturada no formato de uma URL, seguida de detalhes de login e uma senha. As informações contidas, afirmaram os pesquisadores, abrem caminho para “praticamente qualquer serviço online imaginável, desde Apple, Facebook e Google, até GitHub, Telegram e vários serviços governamentais”.
Nem todos os bancos de dados de senhas são resultado de malware comprometido e ladrão de informações, como é o caso do megadump de 16 bilhões aqui. Darren Guccione, CEO e cofundador da Keeper Security, uma plataforma de gerenciamento de acesso privilegiado, me disse que esse vazamento de senhas foi um lembrete adequado de “quão fácil é para dados confidenciais serem expostos involuntariamente online “. E Guccione certamente não está errado, longe disso, na verdade. Isso pode ser apenas a ponta do maior iceberg da segurança esperando para colidir com o mundo online. Quer dizer, imagine quantas credenciais expostas, incluindo senhas, estão guardadas na nuvem, ou mais precisamente em ambientes de nuvem mal configurados, esperando que alguém as encontre. Se tivermos sorte, esse alguém será um pesquisador de segurança que divulgará responsavelmente a exposição ao proprietário ou host; caso contrário, será um agente malicioso. Em quem você apostaria?
“O fato de as credenciais em questão serem de alto valor para serviços amplamente utilizados traz consigo implicações de longo alcance”, disse Guccione, e é por isso que é mais importante do que nunca que os consumidores invistam em soluções de gerenciamento de senhas e ferramentas de monitoramento da dark web. Estas últimas podem ajudar, alertando os usuários quando suas senhas forem expostas online, permitindo que eles tomem medidas diretas e atualizem seus logins de conta caso a senha tenha sido reutilizada em outros serviços.
As organizações, no entanto, também não escapam da necessidade de investimento. Elas devem considerar a adoção de modelos de segurança de confiança zero que ofereçam controles de acesso privilegiados para “limitar riscos, garantindo que o acesso a sistemas sensíveis seja sempre autenticado, autorizado e registrado”, concluiu Guccione, “independentemente de onde os dados estejam”.
O CEO da Desired Effect, Evan Dornbush, ex-especialista em segurança cibernética da NSA, afirmou que “não importa o tamanho ou a complexidade da sua senha. Quando um invasor compromete o banco de dados que a armazena, ele a possui”. É por isso que a higiene e o gerenciamento de senhas são tão essenciais. “É também por isso que é tão crucial não usar a mesma senha em vários sites. Se um invasor roubar uma senha de um banco de dados e a tiver reutilizado em outro lugar, o invasor também poderá obter acesso a essas contas.”
O vice-presidente da Approov, George McGregor, descreveu esse tipo de vazamento massivo como o primeiro efeito dominó, “levando a uma cascata de potenciais ataques cibernéticos e danos significativos a indivíduos e organizações”. A pesquisa, insistiu McGregor, “simplesmente destaca o que já sabemos: que as identidades dos usuários já estão amplamente disponíveis para hackers”.
Em última análise, isso reforça que a segurança cibernética não é apenas um desafio técnico, mas uma responsabilidade compartilhada. “As organizações precisam fazer a sua parte na proteção dos usuários”, disse Javvad Malik, principal defensor da conscientização sobre segurança na KnowBe4, “e as pessoas precisam permanecer vigilantes e atentas a qualquer tentativa de roubo de credenciais de login. Escolha senhas fortes e exclusivas e implemente a autenticação multifator sempre que possível.”
Paul Walsh, CEO da MetaCert, discorda do conceito de segurança cibernética como uma responsabilidade compartilhada. “Isso é pura besteira dos fornecedores de segurança que ainda não sabem como proteger seus clientes de ataques de phishing e depois culpam as pessoas por não se tornarem profissionais de segurança”, disse Walsh em uma publicação na plataforma de mídia social X. Como se espera que os usuários identifiquem ameaças que seus provedores de segurança não conseguem? Essa é uma pergunta bastante sensata feita por Walsh, que observou que a educação do usuário não está funcionando e não tem sido eficaz há mais de uma década. Walsh, é claro, tem interesse nisso, com a Metacert sendo pioneira em uma abordagem de autenticação de URL de confiança zero para o problema.
Embora você possa não querer alterar todas as senhas das suas contas após a revelação deste último vazamento, eu certamente recomendaria isso caso você já tenha reutilizado alguma dessas credenciais em mais de um serviço. Também sugiro que agora é a hora de começar a usar um gerenciador de senhas e migrar para chaves de acesso sempre que possível.
Rew Islam é especialista em segurança na Dashlane e copresidente da FIDO Alliance. Islam me contou que a Dashlane foi “o primeiro gerenciador de credenciais a lançar o suporte a chaves de acesso” e, como tal, disse: “É muito emocionante ver a indústria de tecnologia seguindo o exemplo”. O mais recente a anunciar a adoção de chaves de acesso foi o Facebook, o que é um ótimo momento, considerando a pesquisa da Cybernews. “Para outras empresas e plataformas com muitos seguidores nas redes sociais, o futuro já está definido”, concluiu Islam. “Chaves de acesso não são algo opcional, são essenciais para proteger os usuários”.
“Embora possa haver alguma resistência natural à mudança”, disse Islam, “a boa notícia é que a maioria dos usuários está pronta para abandonar senhas e confiar em fatores que já conhece e usa, como reconhecimento facial ou de impressão digital”. O que será necessário, é claro, é que cada vez mais empresas, de bancos a mídias sociais e pequenas empresas, adiram à onda das chaves de acesso. Com essa adoção, a confiança crescerá até mesmo entre os mais céticos. “Nos próximos três anos”, concluiu Islam, “esperamos que as chaves de acesso sejam usadas pela maioria dos usuários globais da internet”.
Com com grande entusiasmo vemos a entrega dos subsídios para a elaboração da Política Nacional…
A cada clique, curtida ou pesquisa que fazemos, deixamos um rastro digital. Esse rastro, composto…
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, trouxe mudanças profundas…
Em dezembro de 2024, a Comissão Federal de Comércio (FTC), nos Estados Unidos, anunciou duas ações…
A relação entre a privacidade de dados pessoais e a segurança pública.
A complexa interação entre as demandas da segurança pública e o direito fundamental à proteção…