Hackers revelam 1,3 mil milhões de passwords e quase 2 mil milhões de emails. Saiba se os seus dados estão em segurança

Um novo ciberataque de grande escala expôs online 1,3 mil milhões de palavras-passe únicas e quase 2 mil milhões de endereços de e-mail, numa das maiores fugas de dados de sempre. A informação foi compilada a partir de múltiplas fontes, combinando dados de incidentes anteriores com listas de “credential stuffing”, um tipo de ataque em que os criminosos testam credenciais roubadas em múltiplas contas.

O serviço online Have I Been Pwned (HIBP), que permite aos utilizadores verificar se as suas credenciais foram comprometidas, processou o conjunto de dados e confirmou a dimensão histórica do incidente. Troy Hunt, CEO do HIBP, afirmou: “Este volume é quase três vezes maior do que a maior violação que alguma vez processámos.”

O conjunto de dados inclui 1.957.476.021 endereços de e-mail únicos e 1,3 mil milhões de passwords, das quais 625 milhões nunca tinham sido vistas pelo HIBP. Apesar de muitas palavras-passe serem antigas ou não utilizadas, várias continuavam ativas, protegendo contas de utilizadores, evidenciando o risco real de exposição.

Com mais de 5,5 mil milhões de pessoas a utilizar a internet em todo o mundo, especialistas em cibersegurança alertam que todos os utilizadores devem alterar imediatamente as suas passwords.

Ferramentas para verificar credenciais comprometidas

O HIBP oferece um serviço chamado Pwned Passwords, que permite verificar se uma password já foi exposta sem revelar a qual endereço de e-mail estava ligada, preservando a privacidade. Hunt sublinhou: “Detesto títulos hiperbolizados sobre violações de dados, mas para o título ‘2 mil milhões de endereços de e-mail’ ser exagerado, teria de ser superestimado — e não é. É o corpus mais extenso que alguma vez processámos, de longe.”

Especialistas recomendam medidas imediatas para proteger contas pessoais e corporativas:

• Utilizar gestores de passwords seguros e criar palavras-passe únicas e fortes para cada conta;
• Ativar autenticação de dois fatores (2FA), especialmente para contas de e-mail e acessos administrativos;
• Executar verificações de credenciais em organizações para identificar passwords reutilizadas ou expostas;
• Implementar deteção de passwords comprometidas durante logins e alterações de passwords;
• Rever privilégios de acesso, restringir contas de serviço e eliminar credenciais obsoletas.

Os especialistas alertam que as passwords sozinhas já não são suficientes e que empresas devem adotar modelos de acesso zero-trust, políticas de menor privilégio, monitorização contínua e planos de resposta a incidentes, incluindo sistemas automáticos para prevenir ataques de credential stuffing.