O serviço de notificação de violação de dados Have I Been Pwned (HIBP) actualizou a sua plataforma com um volume impressionante de credenciais de acesso comprometidas. No total, foram adicionados 56,3 milhões de endereços de email e 124 milhões de passwords, segundo o site PCWorld.
O que torna este conjunto de dados notável é a sua origem. Ao contrário de muitas entradas anteriores, esta informação não resulta de um único ataque informático a um serviço online. Em vez disso, a plataforma indica que a informação foi extraída directamente de computadores e dispositivos infectados.
A ameaça silenciosa do malware
O responsável pelo Have I Been Pwned explica que se trata de uma colecção de registos gerados por software malicioso do tipo infostealer. Estes programas extraem credenciais de acesso guardadas num sistema infectado. A actualização baseia-se em centenas de milhões de registos individuais, a partir dos quais foi possível identificar os 56 milhões de emails e os 124 milhões de passwords únicas. Estas últimas foram também integradas na base de dados “Pwned Passwords”, onde podem ser verificadas.
O serviço não especifica qual o malware exacto responsável pela recolha, nem fornece mais detalhes sobre a fonte original. No entanto, os infostealers são ferramentas muito populares entre os cibercriminosos. Estes programas maliciosos analisam computadores com Windows e outros dispositivos à procura de passwords guardadas, dados do browser, cookies, tokens de acesso e outras informações sensíveis.
Muitos utilizadores não se apercebem de que o seu dispositivo está infectado. Como resultado, os detalhes de início de sessão podem ser roubados durante longos períodos sem que ninguém note. Este conjunto de dados mais recente mostra que as credenciais podem cair nas mãos erradas não apenas através de falhas de segurança em empresas, mas também directamente a partir dos equipamentos dos utilizadores finais.
Como verificar se os seus dados estão em risco
Qualquer pessoa que deseje descobrir se o seu endereço de email aparece nesta nova colecção pode fazer a verificação através do Have I Been Pwned. Os registos foram adicionados à base de dados a 15 de Junho.
Os utilizadores podem também inscrever-se para receber notificações automáticas e passam a receber um alerta por email caso o seu endereço seja encontrado em futuras fugas de dados.
Medidas urgentes a tomar
Quem encontrar o seu email ou password nesta nova recolha de dados deve agir rapidamente. É fundamental adotar as seguintes práticas de segurança:
- Mudar as passwords afectadas de imediato: Esta acção é crucial, especialmente se tiver o hábito de reutilizar a mesma palavra-passe em vários serviços online. Os cibercriminosos dependem frequentemente desta falha em ataques de preenchimento de credenciais (credential stuffing*).
- Activar a autenticação de dois factores (2FA): Esta camada de segurança oferece uma protecção adicional indispensável. Com a 2FA activa, uma password roubada não é suficiente para aceder a uma conta. Muitos serviços importantes, como fornecedores de email, redes sociais e lojas online, já suportam esta funcionalidade.
- Utilizar um gestor de passwords: Como regra geral, é aconselhável criar uma palavra-passe única e forte para cada serviço. Um gestor dedicado ajuda a criar e a manter estas credenciais seguras, o que ajuda a evitar que uma única falha comprometa várias contas em simultâneo.
