Um novo ataque cibernético de grande proporção revelou na internet 1,3 bilhões de senhas exclusivas e quase 2 bilhões de endereços de e-mail, representando uma das maiores violações de dados já registradas. As informações foram reunidas a partir de diversas fontes, integrando dados de incidentes anteriores com listas de “credential stuffing”, uma técnica em que criminosos testam credenciais obtidas de forma ilícita em várias contas.

A plataforma online Have I Been Pwned (HIBP), que permite aos usuários verificar se suas credenciais foram comprometidas, analisou o conjunto de dados e confirmou a magnitude histórica do evento. Troy Hunt, fundador do HIBP, comentou: “Essa quantidade é quase três vezes maior que a maior violação que já processamos.”

O banco de dados abrange 1.957.476.021 endereços de e-mail distintos e 1,3 bilhões de senhas, das quais 625 milhões eram inéditas para o HIBP. Embora diversas senhas fossem antigas ou inativas, muitas ainda estavam em uso, protegendo contas de usuários e evidenciando o verdadeiro risco de vazamento.

Com mais de 5,5 bilhões de internautas em todo o mundo, especialistas em segurança cibernética alertam que todos os usuários devem mudar suas senhas de imediato.

Ferramentas para checar credenciais comprometidas

O HIBP disponibiliza um serviço chamado Pwned Passwords, que permite a verificação de senhas já expostas sem revelar o endereço de e-mail associado, garantindo a privacidade. Hunt afirmou: “Abomino manchetes exageradas sobre violações de dados, mas para o título ‘2 bilhões de endereços de e-mail’ ser considerado exagerado, teria que ser superestimado — e não é. Trata-se do conjunto mais extenso que já processamos, de longe.”

Os especialistas sugerem ações imediatas para salvaguardar contas pessoais e empresariais:

• Utilizar gerenciadores de senhas seguros e criar senhas únicas e robustas para cada conta;
• Ativar a autenticação em duas etapas (2FA), especialmente em contas de e-mail e acessos administrativos;
• Realizar auditorias de credenciais em organizações para identificar senhas reutilizadas ou expostas;
• Implementar a detecção de senhas comprometidas durante logins e mudanças de senha;
• Rever os privilégios de acesso, restringir contas de serviço e eliminar credenciais obsoletas.

Os especialistas alertam que as senhas isoladamente não são mais suficientes e que as empresas devem adotar modelos de acesso de confiança zero, políticas de privilégio mínimo, monitoramento contínuo e planos de resposta a incidentes, incluindo sistemas automáticos para prevenir ataques do tipo credential stuffing.