Os dados estão em um compilado global, com cerca de 3,2 bilhões de registros vazados de diversos países
(Foto: Reprodução O Globo)
Mais de 10 milhões de senhas de brasileiros estão expostas em um compilado de dados vazados e agregados ao longo de, no mínimo, três anos. O combo ainda inclui 68.535 senhas ligadas a emails da administração pública do país.
Os dados estão em um compilado global, com cerca de 3,2 bilhões de registros (emails e senhas) vazados de diversos países, que veio à tona no início de fevereiro, de acordo com sites especializados internacionais.
A empresa de cibersegurança Syhunt levantou quais deles eram relativos ao Brasil, e chegou a 9,78 milhões de senhas ligadas a domínios “br”, conforme publicou o jornal O Estado de S. Paulo nesta sexta (5).
O número deve ser muito superior porque não foi possível averiguar quais contas de domínios como Gmail, Hotmail e Yahoo, são de brasileiros.
De acordo com o levantamento da Syhunt, entre os 20 domínios brasileiros (com endereço “.gov” de email) com maior número de senhas expostas estão Caixa, Previdência, Fatec, Câmara dos Deputados, Prefeitura de São Paulo, Tribunal de Justiça do Rio Grande do Sul, Prefeitura de Macaé, entre outros.
Também há emails de servidores da Petrobras e da Justiça. O STF (Supremo Tribunal Federal) se pronunciou sobre as senhas de 98 emails expostas da corte. Afirmou que servidores usaram o endereço eletrônico do tribunal para fazer cadastro em sites na internet. “Não se trata de nenhum tipo de invasão a sistemas da Suprema Corte”, afirmou o STF.
Apesar da insegurança de alguns sites da administração pública, é provável, de acordo com especialistas, que os servidores utilizem as credenciais para acesso a outros sites, de modo que as empresas estatais não precisam ser invadidas para que esses dados sejam expostos. Ou seja, basta se cadastrar com o email corporativo em uma página insegura.
O compilado tem sido chamado de PWCOMB21 (sigla em inglês para um termo como “compilado de senhas de diversas violações em 2021”). A origem dos dados é diversa, vindo de diferentes empresas dos setores público e privado ao longo de anos.
Não há, segundo a Syhunt, ligação direta entre esse compilado e a exposição e venda de 220 milhões de dados de brasileiros, noticiada em janeiro, embora eles tenham sido evidenciados no mesmo fórum.
De acordo com Felipe Daragon, fundador da Syhunt, em 2017 hackers publicaram o primeiro combo de emails e senhas, um total de 1,4 bilhão de credenciais do mundo todo. A versão publicada em fevereiro foi uma espécie de atualização, agora com 3,2 bilhões de senhas.
Os especialistas da Syhunt identificaram que várias senhas vazadas coincidiam com as já utilizadas pelos usuários. Um dos principais problemas desse compilado é a evolução do registro de senhas pessoais ao longo dos anos, o que pode levar um criminoso a descobrir a nova senha de um usuário que tenha trocado.
Por exemplo, se a pessoa apenas acrescenta um novo caractere na hora de atualizar a senha ou muda apenas o nome do personagem de um mesmo filme, dá indícios de um padrão de senha que utiliza.
Não é possível saber se as senhas estão atualizadas, mas é provável que algumas estejam. De qualquer modo, manter vulnerável o histórico de senhas já é um risco ao cidadão.
Em alguns casos, a empresa de segurança digital detectou de três a 30 senhas relacionadas a um único endereço de email.
Para se proteger, usuários devem alterar suas senhas para palavras complexas, evitando sequências alfabéticas, com diferentes caracteres e números.
Em nota, o Serpro (Serviço Federal de Processamento de Dados) afirmou que as 323 contas identificadas com domínio “serpro.gov.br” se referem a dados pessoais cadastrados, em outros sites ou portais externos, por meio de login utilizando o email corporativo, “portanto, não tendo como origem as bases de dados administradas pela empresa”.
Diz, ainda, que suas bases de dados e as bases do governo sob sua operação permanecem íntegras e que não houve qualquer tipo de incidente de segurança nos domínios administrados pela empresa.
A reportagem procurou a ANPD (Agência Nacional de Proteção de Dados), mas ainda não obteve retorno.
MEUS DADOS VAZARAM, E AGORA?
O primeiro passo é ficar atento para todo e qualquer tipo de contato de diferentes empresas. A cautela é necessária em todos os meios possíveis: email, internet, WhatsApp, telefone ou SMS.
“É preciso ficar atento e desconfiar de comunicações de empresas que oferecem vantagens milagrosas ou prêmios que aparecem repentinamente. É necessário checar se o remetente é confiável, se é representante legítimo da empresa”, diz Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor).
Outro ponto trazido pelos especialistas é o de nunca responder a solicitações de dados pessoais, senhas ou dados bancários.
Nathalie Fragoso, do InternetLab, afirma que é preciso tomar cuidado com phishing -tentativa de obter informações confidenciais por meio de um disfarce de entidade confiável por email, SMS ou redes sociais.
“É importante prestar atenção no que clica, não clicar em links que não conheça, não abrir emails que não tenham garantias de que são autênticos e seguros. Dá para entrar em contato com as instituições remetentes”, diz.
ADIANTA TROCAR A SENHA?
Segundo os especialistas, apesar de não ser possível “desvazar” os dados ou apagá-los da internet, a troca de senhas é mais um fator de segurança.
O ideal é que a senha contenha caracteres maiúsculos e minúsculos, números e símbolos. Senhas como o nome do pai ou da mãe, datas de aniversário ou sequências numéricas são consideradas frágeis e podem ser facilmente quebradas. Especialistas também indicam habilitar autenticações de dois fatores.
O CRIMINOSO CRIOU UMA CONTA FALSA OU TOMOU CRÉDITO NO MEU NOME. O QUE FAZER?
A primeira medida é fazer um boletim de ocorrência. “A notícia-crime deve ser feita caso a pessoa detecte que ocorreu algum uso indevido dos seus dados. Mas sobre o vazamento em si é praticamente ineficaz, já que praticamente todos os cidadãos tiveram seus dados vazados. Seriam 200 milhões de BO´s que, ainda assim, não resolveriam o problema”, diz Ronaldo Lemos.
É importante entrar em contato com o banco ou com a empresa na qual a conta falsa foi criada.
Segundo o presidente da Combate à Fraude, Leonardo Rebitte, mudar o email utilizado e até mesmo o telefone, dependendo da situação, podem ser alternativas.
“Em última instância, dependendo do impacto que o consumidor sofreu com o vazamento de suas informações, é possível tentar o cancelamento do CPF atual e o pedido de um novo número na Receita Federal”, disse Rebitte.