16,4 milhões de novos logins vazados na internet, diz estudo

Claro! Segue o texto reescrito, mantendo as mesmas informações com palavras diferentes:

Uma investigação recente conduzida pela Synthient, uma startup sediada nos Estados Unidos, revelou 16,4 milhões de credenciais de acesso (logins) que não estavam previamente registradas em nenhum banco de dados de violação de segurança. Esses dados foram obtidos através de uma varredura em espaços frequentados por cibercriminosos, como fóruns, mídias sociais, canais do Telegram e a rede Tor, onde eles costumam trocar conjuntos de nomes de usuário e senhas obtidos por meio de malware.

Esse novo material foi incorporado à ferramenta “Have I Been Pwned?” (HIBP), um serviço que possibilita a qualquer indivíduo verificar se seu e-mail ou senha foi comprometido em incidentes de segurança. Criado pelo pesquisador Troy Hunt, o site atua como um repositório central que cruza dados de milhares de fontes para alertar usuários sobre possíveis ameaças decorrentes do comprometimento de credenciais. Atualmente, a base de dados do HIBP contabiliza mais de 15 bilhões de combinações de e-mail e senha vazadas em 917 sites.

Ao ser questionado sobre o assunto, o Gmail, da Google, assegurou que sua plataforma não sofreu um ataque direcionado. A empresa declarou: “Recomendamos que os usuários adotem as melhores práticas para se protegerem contra o furto de credenciais, como habilitar a autenticação em duas etapas e utilizar chaves de acesso como uma alternativa mais robusta e segura às senhas. Além disso, é crucial redefinir as senhas quando elas forem expostas em grandes volumes como este.”

🛡️ Como Verificar se Seu E-mail Foi Vazado (HIBP)

1. Acesse o endereço eletrônico haveibeenpwned.com.
2. Insira o endereço de e-mail que deseja verificar na área de busca e clique em “Check”.
3. Se não houver registro de vazamento, a página será exibida na cor verde com a mensagem “0 data breaches” (0 violações de dados).
4. Se o e-mail tiver sido exposto, a tela ficará vermelha, indicando o número de vazamentos, o ano em que ocorreram e o serviço afetado.
5. Substitua sua senha e ative a verificação em duas etapas caso encontre qualquer indício de exposição.

🔑 Como Trocar a Senha de Seu E-mail

No Gmail (Google)

1. Acesse “Gerenciar sua Conta do Google” e entre com suas informações de login.
2. Clique na aba “Segurança”.
3. Na seção “Como você faz login no Google”, selecione “Senha” (pode ser necessário fazer um novo login).
4. Digite a nova combinação e toque em “Alterar senha”.

No Outlook (Microsoft)

1. Acesse account.microsoft.com e faça o login.
2. Navegue até a aba “Segurança”.
3. Escolha a opção “Alterar senha”.
4. Insira sua nova senha e clique em “Salvar”.

No Yahoo

1. No aplicativo, clique no ícone de seu perfil.
2. Vá em “Configurações”.
3. Deslize para baixo e toque em “Gerenciar privacidade da conta”.
4. Em seguida, toque em “Seus controles de privacidade”.
5. Localize a aba “Segurança” e selecione “Senha”.
6. Insira a nova senha e toque em “Continuar”.

📦 Detalhes dos Dados Vazados

Grande parte dos arquivos descobertos é proveniente dos chamados “logs de roubo” (stealer logs) — pacotes de dados coletados por softwares maliciosos (malwares) instalados nas máquinas das vítimas. Estes programas têm a capacidade de registrar as credenciais digitadas (e-mail, senha e o endereço do site) no exato momento em que o usuário faz o login.

Para confirmar a veracidade das informações, a equipe do HIBP entrou em contato com assinantes cujos dados estavam na lista; alguns deles confirmaram que as senhas associadas eram autênticas, embora fossem antigas.

Além dos logs de roubo, o lote de dados inclui listas de “credential stuffing” — coleções de pares de e-mail e senha que hackers utilizam em tentativas de acesso automatizadas a contas em diferentes serviços, aproveitando o hábito dos usuários de reutilizar senhas.

Tais listas geralmente são formadas a partir de violações anteriores onde as senhas foram armazenadas de forma vulnerável, como em texto puro ou com criptografia de fácil quebra. Quando os usuários usam as mesmas senhas em vários sites, elas se transformam em um ponto de entrada para novas invasões.

O material foi separado em dois conjuntos dentro do HIBP: um composto pelos logs de roubo, que já está disponível para consulta pública, e outro com as listas de credential stuffing, que ainda está passando por uma fase de verificação. O segundo grupo deve ser adicionado à plataforma nas próximas semanas, após a confirmação de que os dados são válidos.

Troy Hunt, o idealizador do HIBP, comentou que esses vazamentos se comportam mais como um fluxo contínuo de informações do que como eventos isolados. Ele descreveu: “É como uma mangueira de incêndio que está espalhando dados pessoais incessantemente pela internet.”

O HIBP oferece a opção de qualquer pessoa verificar se seu e-mail foi afetado por vazamentos e, mais recentemente, introduziu o recurso Senhas Vazadas, que permite checar se uma senha específica já apareceu em algum banco de dados exposto. De acordo com o criador, a pesquisa é realizada de maneira anônima — a senha não é transmitida para os servidores do site.