Um novo megavazamento de dados expôs cerca de 183 milhões de endereços de e-mail e senhas, em sua maioria ligados a contas do Gmail, segundo informações divulgadas nesta segunda (27). A descoberta foi feita pelo especialista em cibersegurança Troy Hunt, criador da plataforma Have I Been Pwned.
De acordo com Hunt, este é o maior comprometimento de credenciais registrado no ano e soma 3,5 terabytes de informações circulando em fóruns da dark web. O vazamento, disse o especialista, teria ocorrido em abril e apenas agora veio a público após análises cruzadas confirmarem a autenticidade das informações expostas.
Informações apuradas nesta terça (28) apontam que e-mails de outros servidores, como Yahoo e Outlook, também foram afetados pela exposição.
Musk acusa Wikipedia de ser “woke” e lança concorrente
O site Have I Been Pwned informou que embora a maioria das credenciais vazadas já fosse conhecida de violações anteriores, o incidente desta semana expôs 16,4 milhões de novos endereços que nunca haviam aparecido no banco de dados da plataforma.
O Google, no entanto, negou que o ataque tenha atingido diretamente seus servidores e afirmou que houve apenas uma ação de “infostealers”, programas maliciosos que roubam senhas armazenadas nos dispositivos das vítimas e as vendem na deep web. A gigante da tecnologia negou que seus sistemas tenham sido invadidos por hackers.
“Eles [registros de suposto vazamento] decorrem de uma interpretação equivocada das atualizações contínuas em bancos de dados de roubo de credenciais, conhecidos como Infostealers, em que os invasores utilizam diversas ferramentas para coletar credenciais, ao invés de um ataque único e específico direcionado a uma pessoa, ferramenta ou plataforma específica”, afirmou a empresa em nota (veja na íntegra mais abaixo). As demais ainda não se pronunciaram.
Como saber se a sua senha foi vazada
Para saber se a sua senha foi vazada, é preciso entrar no site Have I Been Pwned e digitar o endereço de e-mail. A página mostrará um histórico de registros tanto deste vazamento como de anteriores.
“Ah, não — pwned! Este endereço de e-mail foi encontrado em diversas violações de dados. Revise os detalhes abaixo para ver onde seus dados foram expostos”, diz a mensagem exibida pelo site Have I Been Pwned a quem teve as credenciais comprometidas.
Quem teve dados expostos deve alterar imediatamente sua senha, criando uma combinação forte, com letras maiúsculas e minúsculas, números e símbolos, com pelo menos 12 caracteres. O acesso à troca pode ser feito em myaccount.google.com/security, na seção “Como fazer login no Google”. É essencial evitar repetir senhas usadas em outros serviços, uma prática que facilita o roubo de dados em ataques em cadeia.
Outra medida indispensável é ativar a autenticação em dois fatores (2FA), que impede invasões mesmo quando a senha é comprometida. O recurso está disponível na mesma página, em “Verificação em duas etapas”. O Google oferece diversas opções, como envio de códigos via SMS, uso do aplicativo Google Authenticator ou chaves físicas de segurança. Essa camada adicional reduz drasticamente o risco de acesso indevido.
Os especialistas também reforçam a importância de revisar periodicamente os dispositivos conectados à conta Google e revogar acessos de aplicativos de terceiros desconhecidos. Manter o sistema operacional e os aplicativos atualizados é outro passo essencial, já que falhas antigas são as portas mais exploradas por cibercriminosos.
Veja o que disse o Google sobre a exposição de senhas:
Os relatos de um suposto vazamento de dados ou violação de segurança do Gmail que afetaria milhões de usuários são completamente imprecisos e incorretos. Eles decorrem de uma interpretação equivocada das atualizações contínuas em bancos de dados de roubo de credenciais, conhecidos como Infostealers, em que os invasores utilizam diversas ferramentas para coletar credenciais, ao invés de um ataque único e específico direcionado a uma pessoa, ferramenta ou plataforma específica.
Incentivamos os usuários a seguirem as melhores práticas para se protegerem contra o roubo de credenciais, como ativar a verificação em duas etapas e adotar chaves de acesso como uma alternativa mais forte e segura às senhas, além de redefinir as senhas quando elas forem expostas em grandes lotes como este.