Uma nova e gigantesca fuga de dados veio a público, expondo as credenciais de acesso de 183 milhões de contas do Gmail. A informação foi recentemente adicionada à base de dados do serviço Have I Been Pwned (HIBP), confirmando que uma vasta quantidade de endereços de e-mail e as suas respetivas palavras-passe estão a circular em meios criminosos.
A origem deste volume massivo de informação são registos compilados a partir de infostealers, um tipo de malware concebido especificamente para roubar credenciais guardadas em computadores infetados.
A dimensão do perigo e o que fazer agora
A inclusão destes dados no HIBP, registada a 21 de outubro, foi detalhada pelo especialista em segurança digital Troy Hunt, que administra a plataforma. Segundo Hunt, os registos foram recolhidos ao longo de quase um ano, através da monitorização de redes de cibercriminosos. A compilação, que totaliza uns impressionantes 3,5 TB de dados distribuídos por 23 mil milhões de linhas, contém URLs de sites, nomes de utilizador e palavras-passe capturadas diretamente dos dispositivos das vítimas.
O mais alarmante é que, deste volume, cerca de 16,4 milhões de contas nunca tinham sido identificadas em fugas de dados anteriores, o que significa que o risco para estes utilizadores é particularmente elevado. A reutilização de palavras-passe em múltiplos serviços online agrava o perigo, permitindo que os atacantes usem uma única credencial comprometida para aceder a várias contas da mesma pessoa.
A veracidade dos dados foi confirmada pelo HIBP, que, em alguns casos, contactou utilizadores para validar as informações. Num dos exemplos citados, um utilizador confirmou que a palavra-passe listada correspondia, de facto, à sua conta do Gmail, conforme detalhado pela Forbes.
A recomendação imediata é clara: todos os utilizadores devem verificar se o seu endereço de e-mail consta na base de dados do HIBP e, em caso afirmativo, alterar a sua palavra-passe de imediato.
A resposta da Google e as melhores práticas de segurança
A Google afirmou que dispõe de mecanismos automáticos para forçar a redefinição de palavras-passe quando deteta volumes significativos de credenciais comprometidas. A empresa reforça a importância de ativar a verificação em duas etapas e de adotar passkeys como uma alternativa mais segura.
Para quem suspeita de acessos indevidos, é crucial rever a atividade recente da conta ou iniciar o processo de recuperação. Ferramentas como o Gestor de Passwords da Google podem ajudar a identificar se as suas credenciais estão fracas, a ser reutilizadas ou se já foram comprometidas em fugas anteriores. O conselho dos especialistas em segurança é unânime: qualquer palavra-passe exposta deve ser substituída sem demora.
Nenhum comentário
Seja o primeiro!