Um novo alerta global de segurança digital foi emitido nesta semana após o pesquisador Troy Hunt, criador do portal Have I Been Pwned (HIBP), confirmar a inclusão de quase 2 bilhões de endereços de e-mail e 1,3 bilhão de senhas no banco de dados da plataforma. Trata-se do maior volume de credenciais já processado desde que o serviço foi criado, com 625 milhões de senhas inéditas, jamais vistas antes em outros vazamentos.
Segundo Hunt, os dados vêm de extensas listas de credential stuffing, coleções formadas a partir de antigas violações de segurança e trocas clandestinas de dados entre cibercriminosos. A diferença é que, agora, essas listas foram reunidas, validadas e disponibilizadas para consulta pública no HIBP, permitindo que qualquer pessoa verifique se seus dados foram comprometidos.
Credential stuffing x stealer logs
O pesquisador destacou que, diferentemente dos stealer logs, que são registros coletados por malwares que infectam máquinas e capturam senhas diretamente do navegador, o material recém-adicionado é composto por combinações de e-mail e senha obtidas em vazamentos anteriores, recompiladas e revendidas diversas vezes.
Esses pacotes são usados em ataques automatizados, nos quais criminosos testam milhões de combinações em serviços populares, apostando na reutilização de senhas pelos usuários. Um único acesso bem-sucedido pode abrir caminho para a invasão de redes sociais, e-mails e até contas corporativas.
Na semana anterior, outro incidente já havia chamado atenção: o vazamento de 180 milhões de endereços de e-mail e senhas, em sua maioria de usuários do Gmail. Apesar da coincidência, o caso não teve relação com falhas nos sistemas do Google. Os dados, coletados pela empresa de inteligência Synthient, vieram de stealer logs originados em máquinas infectadas, e não de vulnerabilidades do provedor de e-mail.
“É literalmente ter as chaves do castelo”, resumiu Hunt ao comentar a facilidade com que senhas recicladas permitem acesso a múltiplos serviços.
Testes confirmam veracidade dos dados
Para avaliar a autenticidade do material, o especialista iniciou os testes pelos próprios registros e encontrou senhas antigas de sua autoria, além de outras que não reconheceu. Casos semelhantes foram reportados por assinantes do HIBP: credenciais de uma década atrás ainda em uso e até senhas complexas, com letras, números e símbolos, consideradas “fortes” pelos critérios tradicionais.
Em um exemplo curioso, um usuário exposto possuía duas senhas: a segunda era idêntica à primeira, apenas acrescida de dois pontos de exclamação. Essa “versão aprimorada” ainda estava ativa em contas corporativas.
O achado evidencia que a complexidade sozinha não garante segurança. Uma senha “forte”, mas reaproveitada, perde totalmente sua eficácia quando exposta em múltiplos serviços.
Como se proteger
Diante da magnitude do vazamento, Hunt recomenda que todos os usuários verifiquem seus endereços e senhas no Have I Been Pwned.
Além disso, especialistas reforçam boas práticas de segurança digital:
- Evite reutilizar senhas. Use uma senha única e aleatória para cada serviço.
- Adote um gerenciador de senhas. Ferramentas como Bitwarden, 1Password ou KeePass geram e armazenam credenciais seguras.
- Ative a autenticação multifator (MFA). Mesmo que a senha seja comprometida, o acesso ficará bloqueado sem a segunda etapa de verificação.
- Considere o uso de passkeys. Chaves físicas ou digitais eliminam a necessidade de senhas tradicionais.
- Revise senhas antigas e contas esquecidas. Credenciais antigas ainda podem representar risco se associadas a serviços em uso.
Com esse novo corpus de dados, o HIBP amplia seu papel como instrumento essencial de monitoramento de credenciais, alertando milhões de pessoas sobre o uso indevido de suas informações.
Em um cenário de ataques cada vez mais sofisticados, o episódio reforça a importância da educação digital e da adoção de práticas preventivas, porque, como lembra Troy Hunt, “as senhas podem ser antigas, mas os riscos são sempre atuais.”
Texto: Redação TI Rio