Nas últimas horas, tem dado que falar uma pesquisa feita por Jeremiah Fowler, que revela que 149 milhões de credenciais poderão ter sido expostas. Note-se que Fowler é um pesquisador de segurança muito respeitado no mercado e, por norma, certeiro nas suas informações.
De acordo com o próprio, “o banco de dados exposto publicamente não estava protegido por senha nem criptografado”. Juntando toda a informação disponível, o próprio refere que se concentrou um volume de 96 GB em dados brutos de credenciais.
Credenciais de Gmail, Facebook e não só
A pesquisa de Fowler discrimina os mais de 149 milhões mencionados, em algumas parcelas. Crê-se que a maioria das senhas fossem do Gmail, 48 milhões ao todo (via Forbes). No entanto, menciona-se também Facebook (17 M), Instagram (6,5 M), Yahoo (4 M), Netflix (3,4 M) e não só.
O mais preocupante aqui é que, como refere a mesma fonte de informação, já não é a primeira falha de segurança significativa que ouvimos falar em 2026. Um relatório recente do gestor de senhas LastPass emitiu um alerta para milhões de utilizadores, após confirmar um ataque em andamento.
Nas palavras de Fowler, “vi milhares de arquivos que incluíam e-mails, nomes de utilizador, senhas e links de URL para login ou autorização das contas”. Não deixa de ser irónico que, segundo o próprio, também os cibercriminosos “não estão imunes a violações de dados”.
Felizmente, o banco de dados em questão já não se encontra disponível online. Mesmo assim, não deixa de ser uma situação preocupante, até porque, como refere a Forbes, Fowler demorou cerca de um mês a conseguir que fosse removido.
Nestas situações, o complicado é mensurar os verdadeiros impactos. Quem o refere é Boris Cipot, engenheiro de segurança da Black Duck. O próprio diz: "não há como saber a extensão dos danos ou do vazamento de dados que ocorreram antes da remoção do banco de dados". Cipot acrescentou ainda que "o banco de dados também continha logins de serviços governamentais, bancários e de streaming".
Perante situações deste género, é aconselhável que os utilizadores recorram a palavras-passe fortes e únicas em cada serviço, bem como procedam à sua alteração sempre que exista qualquer suspeita de exposição. A ativação da autenticação de dois fatores é igualmente recomendada, sempre que disponível.
