Um recente ataque cibernético em larga escala revelou online 1,3 bilhões de senhas exclusivas e cerca de 2 bilhões de endereços de e-mail, tornando-se uma das mais significativas brechas de segurança já registradas. Os dados foram coletados de diversas origens, unindo informações de incidentes passados com listas utilizadas em “credential stuffing”, uma técnica onde criminosos testam credenciais obtidas de forma ilegal em várias contas.

O site Have I Been Pwned (HIBP), que permite que os usuários verifiquem se suas credenciais foram comprometidas, analisou o conjunto de dados e confirmou a magnitude histórica do evento. Troy Hunt, fundador do HIBP, disse: “Esse volume é quase três vezes maior do que a maior violação que já analisamos.”

O conjunto de dados contém 1.957.476.021 endereços de e-mail únicos e 1,3 bilhões de senhas, sendo que 625 milhões delas nunca foram registradas anteriormente pelo HIBP. Embora muitas senhas sejam antigas ou não utilizadas, várias ainda estão ativas, protegendo as contas dos usuários e destacando o risco iminente de exposição.

Com mais de 5,5 bilhões de indivíduos conectados à internet globalmente, profissionais de segurança cibernética alertam que todos devem alterar suas senhas prontamente.

Ferramentas para verificar credenciais vazadas

O HIBP disponibiliza um serviço chamado Pwned Passwords, que permite checar se uma senha já foi exposta sem indicar qual endereço de e-mail estava associado, garantindo a privacidade. Hunt ressaltou: “Detesto títulos exagerados sobre brechas de dados, mas para que a expressão ‘2 bilhões de endereços de e-mail’ seja considerada uma hipérbole, teria que ser enormemente inflacionada — e isso não acontece. É, sem dúvida, o maior conjunto de dados que já processamos.”

Profissionais recomendam ações imediatas para proteger contas pessoais e corporativas:

• Usar gerenciadores de senhas seguros e estabelecer senhas únicas e robustas para cada conta;
• Ativar a autenticação de dois fatores (2FA), especialmente em contas de e-mail e acessos administrativos;
• Realizar auditorias de credenciais nas organizações para identificar senhas reutilizadas ou comprometidas;
• Implementar mecanismos para detectar senhas vazadas durante logins e modificações de senhas;
• Revisar e ajustar privilégios de acesso, limitar contas de serviço e eliminar credenciais desatualizadas.

Os especialistas enfatizam que o uso exclusivo de senhas já não é suficiente e que as empresas devem adotar estratégias de acesso baseadas em zero-trust, políticas de menor privilégio, monitoramento contínuo e planos de resposta a incidentes, incluindo sistemas automatizados para mitigar ataques de credential stuffing.