Vazamento expõe senhas da Apple, Google e Facebook, dizem especialistas – Site calcula que 16 bilhões de ‘passwords’ de Apple, Google, Meta e outras empresas já foram expostos, mas admite que número pode estar inflado. Estudo agita a internet e reforça alertas de como se defender de hackers – Foto: Pixabay
Vazamentos de dados expuseram bilhões de logins e senhas de plataformas como Apple, Google, Facebook e Telegram, além de sites e aplicativos governamentais, segundo alerta de investigadores do portal Cybernews. Eles calcularam em 16 bilhões o total de “passwords” e credenciais vazadas, o que seria um nível nunca visto antes, segundo o estudo.
O volume multibilionário de vazamentos divulgado pela Cybernews movimentou a internet, provocou debates sobre a confiabilidade dos números e reforçou alertas sobre a segurança na web. O próprio portal Cybernews, que fez o estudo, reconheceu que o levantamento pode conter dados sobrepostos, duplicados e até já relatados. Isso significa dizer que o número total pode estar inflado.
A reportagem publicada pela Cybernews revelou que as informações foram reunidas a partir de 30 bases de dados diferentes, cada uma contendo de dezenas de milhões a mais de 3,5 bilhões de dados. No entanto, segundo o próprio Cybernews, “é seguro afirmar que há registros sobrepostos” e duplicados, ou seja, não é possível determinar com precisão quantas contas ou pessoas foram, de fato, afetadas.
“Não sabemos exatamente quantos registros duplicados existem, já que o vazamento provém de múltiplos conjuntos de dados”, afirmou reportagem do portal.
Os pesquisadores identificaram que a maior parte dos dados vazados resultou da combinação de três fontes: malwares que roubam informações, ataques que utilizam senhas vazadas para tentar acessar várias contas e vazamentos antigos reaproveitados, segundo o portal Cybernews.
“Os cibercriminosos agora têm um acesso sem precedentes a credenciais pessoais que podem ser usadas para sequestro de contas, roubo de identidade e ataques de phishing altamente direcionados. O que é especialmente preocupante é a estrutura e a atualidade desses conjuntos de dados. Isso é inteligência nova, com potencial de uso malicioso em larga escala”, disseram os pesquisadores em nota divulgada pelo Cybernews.
Embora destaque na reportagem que “os dados são recentes e não meramente reciclados de violações antigas”, o Cybernews reconhece a existência de um conjunto que já havia sido identificado anteriormente: “Nenhum dos conjuntos de dados expostos havia sido relatado anteriormente, com exceção de um: no fim de maio, a revista Wired noticiou que um pesquisador de segurança havia descoberto um “banco de dados misterioso” com 184 milhões de registros. Esse número mal chega a entrar no top 20 do que a equipe identificou.”
A maior parte do conjunto de informações comprometidas estaria “provavelmente relacionado à população de língua portuguesa”, com mais de 3,5 bilhões de registros, informaram os pesquisadores.
Vazamento expõe riscos
Os dados foram organizados em formato de URL, login e senha, o que facilita o uso por grupos especializados em ataques cibernéticos. As informações podem ser usadas em tentativas de invasão automatizadas, direcionadas a qualquer tipo de conta online, de redes sociais a sistemas bancários.
Boa parte das credenciais foi obtida por meio de malwares do tipo infostealer, programas que capturam tudo o que a vítima digita, como senhas e dados bancários, e enviam essas informações a operadores maliciosos. As informações já estariam disponíveis para venda na dark web a preços acessíveis, o que amplia o risco de ataques.
Ex-especialista da Agência de Segurança Nacional dos Estados Unidos (NSA) e CEO da Desired Effect, Evan Dornbush disse à revista Forbes que, em casos como este, a complexidade da senha não importa.
– Não importa o quão complexa seja sua senha. Se o banco de dados que a armazena for comprometido, ela também estará – explica.
Procurada, a Apple e Facebook disseram que não comentariam o caso, enquanto o Google informou que não possui ainda um posicionamento sobre o assunto, mas um porta-voz informou que o problema não aconteceu por conta de uma violação de dados diretamente na empresa.
As empresas não informaram se o vazamento afetou o Brasil.
Especialistas recomendam troca de senhas e uso de ‘passkeys’
Diante da gravidade do caso, especialistas recomendam que usuários troquem imediatamente qualquer senha reutilizada em mais de um serviço. O uso de gerenciadores de senhas e a ativação da autenticação em dois fatores são medidas consideradas mínimas nesse contexto.
Um porta-voz do Google informou que há um incentivo para que as pessoas usem métodos de autenticação que são seguros sem senha ou um gerenciador de senhas.
Japão exibe tecnologia futurista de salvação para desastres naturais
Mais do que isso, especialistas reforçam que o momento é oportuno para a adoção das chamadas passkeys – novo padrão de login que substitui senhas por métodos biométricos ou códigos locais criptografados, como reconhecimento facial ou digital.
Gigantes da tecnologia, como a Apple, o Google e, mais recentemente, o Facebook, já oferecem suporte a passkeys em seus sistemas. A expectativa, segundo a Forbes, é de que, nos próximos três anos, a maioria dos usuários da internet adote essa tecnologia como padrão.
Em 2021, dez milhões de senhas de brasileiros foram expostas em megavazamento global de dados. Um levantamento feito pela empresa brasileira de cibersegurança Syhunt demonstrou que, dentro desses milhões de senhas vazados (todas de e-mails com domínio “.br”), há milhares delas – mais de 68 mil – de órgãos governamentais, como o Congresso Nacional e o Supremo Tribunal Federal. Até a Petrobras foi vítima, com mais de 8,8 mil senhas expostas. No total, mais de 3 bilhões de senhas foram vazadas no mundo.
Confira as recomendações básicas dos especialistas:
- Troque senhas reutilizadas imediatamente;
- Use senhas diferentes para cada conta;
- Ative a autenticação em dois fatores (2FA);
- Adote gerenciadores de senhas confiáveis;
- Migre para passkeys, se possível;
- Fique atento a mensagens suspeitas (phishing).
Fonte: https://oglobo.globo.com – Por O Globo e agências internacionais – Rio de Janeiro
Blog do Florisvaldo – Informação Com Imparcialidade
