O criador do site Have I Been Pwned (HIBP) e especialista em cibersegurança, Troy Hunt, adicionou recentemente 2 biliões de endereços de e-mail únicos à base de dados do serviço, junto de cerca de 1,3 mil milhões de palavras-passe únicas.
Os dados foram reunidos pela empresa de segurança Synthient a partir de múltiplas listas maliciosas e fontes públicas na Internet. Muitos destes dados expostos foram obtidos por infostealers (malwares de roubo de dados) e partilhadas em grupos no Telegram (via PCWorld).
Dados de décadas e passwords ainda activas
Para quem não conhece, o Have I Been Pwned é um agregador de bases de dados de grandes fugas de informação, que permite verificar se um e-mail ou palavra-passe já foi exposto em algum incidente de segurança.
Hunt, responsável por compilar os dados adicionados na plataforma, explicou que, após receber o ficheiro, realizou uma verificação manual para confirmar a autenticidade dos registos. Ao pesquisar por um de seus endereços antigos, encontrou palavras-passe que de facto tinha usado.
Para validar o padrão, Hunt contactou assinantes do HIBP: alguns reconheceram passwords antigas, enquanto outros encontraram credenciais ainda em uso. Isso demonstra que os novos dados não provêm de uma única fuga, mas incluem informações que abrangem décadas de dados expostos online.
Mesmo sendo palavras-passe antigas, elas continuam perigosas. Em ataques de credential stuffing (preenchimento de credenciais), os cibercriminosos testam automaticamente combinações de e-mail e palavra-passe roubadas em múltiplos serviços, explorando o hábito de muitos utilizadores de reutilizarem passwords fracas ao longo dos anos.
Palavras-passe comprometidas e o sistema Pwned Passwords
As palavras-passe recolhidas também foram carregadas no sistema Pwned Passwords do HIBP, permitindo a qualquer pessoa verificar se uma senha já apareceu em fugas de dados. Hunt sublinha que, se uma palavra-passe como “Fido123!” surge na lista, ela é insegura em qualquer contexto e não deve voltar a ser usada.
Risco imediato e medidas de protecção
A integração destes 2 mil milhões de e-mails no HIBP permite aos utilizadores verificarem se as suas contas foram comprometidas e serve como alerta para reforçar a segurança digital.
Do ponto de vista técnico, os dados parecem resultar da recolha feita por malware de roubo de credenciais e da agregação pública em fóruns e canais privados. Embora haja inconsistências (como passwords que não correspondem ao titular do e-mail), o conjunto contém milhões de pares e-mail/ palavras-passe reais e activos, representando um risco imediato.
Em resumo, as principais recomendações são:
-
Verifica o teu endereço no Have I Been Pwned;
-
Consulta o Pwned Passwords para identificar as palavras-passe comprometidas;
-
Altera palavras-passe fracas ou repetidas;
-
Activa a autenticação multifator sempre que possível.
Uma dica extra: utiliza um antivírus com gestor de palavras-passe, que analisa automaticamente se as tuas credenciais foram comprometidas em fugas de dados conhecidas.
