Dados de acesso a serviços como Apple, Google e Facebook estão entre os 16 mil milhões de credenciais comprometidas numa das maiores fugas de sempre.
Foi confirmada a existência da maior fuga de dados alguma vez registada, com mais de 16 mil milhões de credenciais de acesso — incluindo palavras-passe — expostas online. A origem desta fuga aponta para a ação combinada de vários infostealers – programas maliciosos utilizados para recolher informação sensível a partir de dispositivos infetados.
De acordo com a equipa da Cybernews, que acompanha esta investigação desde o início do ano, foram identificadas 30 bases de dados distintas, cada uma delas contendo entre dezenas de milhões e mais de 3,5 mil milhões de registos. Estes dados incluem acessos a redes sociais, contas de e-mail, VPNs, portais de programadores, serviços de armazenamento e plataformas governamentais. Apesar de alguns conjuntos poderem incluir registos duplicados ou reformulados, os investigadores afirmam que a vasta maioria destas credenciais nunca tinha sido divulgada até agora, o que eleva o risco de exploração direta por parte de agentes maliciosos.
A estrutura dos dados é relativamente simples, apresentando um endereço URL, seguido de um nome de utilizador e uma palavra-passe, o que permite acesso imediato a contas online sem recorrer a técnicas adicionais de ataque. Serviços como Apple, Facebook, Microsoft, Google, GitHub e Telegram estão entre os mais frequentemente identificados nestes ficheiros, confirmando assim o potencial do seu impacto transversal — tanto para utilizadores individuais como para organizações com infraestruturas dependentes da autenticação digital.
Os especialistas ouvidos sobre o caso alertam, como sempre, para a necessidade de adotar rapidamente medidas de segurança mais robustas. O uso de palavras-passe únicas continua a ser essencial, mas revelam-se que já não são o suficiente. A autenticação multi-factor é hoje considerada a ação de segurança mínima por parte do utilizador, mas a verdadeira mudança está na transição para sistemas que eliminam completamente a dependência de palavras-passe, como é o caso dos passkeys – sistemas usam biometria ou chaves locais ligadas a dispositivos de confiança, tornando praticamente impossível o roubo de credenciais de forma remota.
Para além disso, o uso de gestores de palavras-passe e ferramentas de monitorização da dark web é fortemente recomendado, uma vez que permitem aos utilizadores saber se as suas credenciais foram comprometidas e atuar com rapidez em situações como a atual. Em contextos empresariais, a adoção de modelos de segurança zero-trust, com controlo rigoroso sobre o acesso privilegiado a sistemas, é cada vez mais importante.
Embora se insista frequentemente na responsabilidade partilhada entre utilizadores e serviços, nem todos concordam com essa visão. Alguns especialistas argumentam que a responsabilidade da segurança deve estar principalmente do lado das empresas, com os seus recursos e conhecimento técnico para implementar proteções eficazes. Outros insistem na importância da formação e da vigilância constante por parte dos próprios utilizadores, especialmente perante esquemas cada vez mais sofisticados de phishing e engenharia social.
A adesão aos passkeys tem vindo a aumentar entre as principais plataformas, incluindo a Microsoft, o Google e o Facebook, que já disponibilizam esta tecnologia para autenticação em contas pessoais.
