No último dia 23 de janeiro, Jeremiah Fowler, pesquisador de cibersegurança, relatou a uma empresa de serviço de rede privada virtual (VPN) que descobriu, dentro de um robusto arquivo de 96 GB, um banco de dados contendo 149 milhões de senhas vazadas. No documento, havia também informações sobre nomes de usuários e e-mails de perfis espalhados por todo o planeta. A revelação foi noticiada por veículos de diversos países.
Fowler destacou que, entre os dados de seu achado, encontrou logins de redes sociais (Facebook, Instagram, TikTok, X e OnlyFans), plataformas de streaming (Netflix, HBO Max e Disney+) e serviços bancários e de investimento.
Receba nossas notícias NO CELULAR
WHATSAPP: As regras de privacidade dos grupos são definidas pelo WhatsApp.
WhatsApp
Telegram
Ao entrar, seu número pode ser visto por outros integrantes do grupo.
Outro destaque da pesquisa foi a identificação de domínios federais, como o “gov.br”. O acesso não era criptografado nem protegido por senha, “o que permitia que qualquer usuário que encontrasse o banco de dados tivesse acesso às credenciais de milhões de pessoas”, concluiu o especialista.
O responsável pelo banco de dados não foi localizado. Além do elevado risco à segurança, não se sabe o propósito nem há quanto tempo as informações estavam sendo vazadas. Após a descoberta, foi necessário cerca de um mês para a suspensão total do arquivo na internet. Durante a investigação, Fowler ressaltou que o volume de dados aumentava até que, finalmente, o acesso foi encerrado.
Histórico de vazamentos
Essa recente denúncia é apenas mais um capítulo de uma longa história que vem se expandindo ao longo dos últimos anos, aumentando a preocupação de especialistas da área.
No ano passado, um grupo de analistas em cibersegurança compilou uma série de 30 bancos de dados que, juntos, atingiram um total de 16 bilhões de logins vazados, contendo nomes e senhas de usuários. Com esse número, o caso é considerado o maior vazamento de senhas da história.
Anteriormente, a liderança pertencia ao vazamento conhecido como “RockYou2024”. O nome faz referência ao título do arquivo vazado, que continha cerca de 10 bilhões de senhas. O documento foi revelado em um fórum, no dia 4 de julho de 2024, por um usuário chamado “ObamaCare”.
A ilusão da invulnerabilidade
Responsáveis pelo armazenamento dos dados cadastrados em seus sistemas, empresas ao redor do globo investem na contratação de hackers para a localização de brechas exploradas por criminosos. Porém, para o advogado e especialista em direito digital e crimes cibernéticos Dr. Fernando Peres, é praticamente impossível garantir uma eficiência de proteção absoluta em um ambiente controlado por dados e informação hiperconectada.
“Existe uma frase que eu uso bastante no Direito: ‘quem vigia os vigilantes?’. Que garantia eu tenho de que a empresa responsável pelos meus dados está fazendo tudo do jeito certo? Eu não tenho como saber se ela está tomando as medidas necessárias. É como uma casa com várias portas: elas podem estar fechadas, mas eu não sei se estão trancadas até tentar verificar. As empresas podem investir em segurança, mas é impossível oferecer 100% de garantia”, analisa.
Outro ponto ressaltado pelo especialista é o desbalanceamento do nível de segurança entre diferentes bancos de dados e setores de uma mesma empresa. Invasores necessitam de apenas uma única vulnerabilidade para expandir seu acesso e, assim, furtar as informações necessárias.
“Na prática, empresas grandes, médias e pequenas falham com frequência em medidas de proteção. Muitas vezes, a brecha começa com um funcionário que clica em um arquivo malicioso, por exemplo, e isso dá acesso a servidores internos. Em grandes empresas, o risco aumenta porque os dados podem estar fracionados em diferentes bancos e nem todos recebem o mesmo nível de atenção. Às vezes, o banco principal é bem protegido, mas um banco secundário, com menos monitoramento, pode ser mais fácil de acessar”, ressalta.
‘Portas’ digitais e falhas ‘zero day’
Peres explica que, na internet, toda conexão executada pode ser compreendida como a abertura de uma “porta” digital. Diferentes serviços oferecem “canais de acesso” distintos. Sistemas antigos e desatualizados escancaram brechas já conhecidas por criminosos, que continuam a explorá-las caso a “porta” não seja fechada. No mercado clandestino, a falta de conhecimento sobre a existência dessas falhas pode ser um fator que agrega valor a elas.
“Se uma dessas portas estiver aberta por falha ou má configuração, ela pode virar brecha. Por isso, atualizações são cruciais: elas corrigem vulnerabilidades conhecidas. Mas existem falhas que ainda não foram identificadas, chamadas de ‘zero day’, porque faz ‘zero dias’ que a falha foi descoberta publicamente e, em tese, ainda não foi corrigida. Criminosos podem compartilhar ou até vender esse tipo de vulnerabilidade”, aponta.
Deep Web: privacidade, risco e mercado de dados
A venda e compra dessas informações ocorre, frequentemente, por meio da Deep Web (internet profunda, em tradução literal). Comumente associada ao “submundo” da internet, essa vasta parte do cenário digital representa uma enorme fatia de todo o tráfego do planeta. Nela estão dados criptografados e informações confidenciais que não circulam na “superfície”, espaço utilizado pela grande maioria dos usuários.
A principal diferença entre esses dois “mundos” é o anonimato de seus criadores e usuários. Por meio da ocultação do IP (Internet Protocol, em inglês), número de registro do aparelho utilizado, o “endereço” do usuário permanece oculto. É por conta desse fator que, normalmente, o espaço é utilizado para a transação de produtos ilegais — como armas de fogo, drogas e dados vazados.
De acordo com Peres, o simples fato de acessar a Deep Web não torna uma pessoa criminosa. Seu uso pode ser legítimo caso o usuário deseje, por exemplo, navegar em sites da “superfície” com maior segurança, protegendo seu IP de eventuais invasores.
“O ambiente funciona como uma ‘rede dentro da rede’, acessível por sistemas como o TOR, que criam túneis para ocultar o endereço IP do usuário. Nesse espaço, os sites não utilizam terminações comuns, como ‘.com’ ou ‘.com.br’, mas domínios ‘.onion’. A Deep Web pode ser usada para fins legítimos de privacidade, mas também abriga mercados ilegais. É nesse ambiente que, muitas vezes, bancos de dados vazados são compartilhados ou vendidos”, detalha.
Por serem descentralizadas, as criptomoedas tornaram-se a principal forma de pagamento nesse tipo de mercado. Como não dependem de bancos ou governos para sua gestão, o modelo favorece o anonimato dos indivíduos que trafegam nessa área da internet. Ainda assim, o especialista ressalta que é possível identificar a origem de uma venda ou compra caso o link da transação seja obtido.
“Na verdade, ele é mais rastreável do que se imagina. Quando você faz uma transação no Bitcoin, ou em qualquer outra moeda virtual, você envia um link direcionado a uma carteira virtual. Essas transações são públicas. Com essa informação, é possível saber toda a movimentação da pessoa, o que ela recebeu ou não”, detalha Peres.
Como descobrir e-mails vazados?
Uma forma de saber quais e-mails e outros dados, como senha e usuário, foram identificados em vazamentos é por meio de sites como o “DesenCriptando” e o “Have I Been Pwned?”. Neles, é possível identificar quais informações foram divulgadas e a origem do vazamento — quando ocorreu e qual serviço foi afetado.
Outra funcionalidade interessante é a possibilidade de verificar quantas vezes uma senha foi encontrada em bancos de dados vazados. Além disso, ambos orientam medidas de segurança para corrigir vulnerabilidades e ampliar a proteção digital.
Problemas de senhas fracas
Além das invasões a bancos de dados, criminosos também executam ataques diretos contra usuários para invadir contas e furtar informações e/ou dinheiro. A quebra da medida de segurança ocorre por meio de programas que testam inúmeras combinações em um curto espaço de tempo, processo chamado de “força bruta”. Caso uma única senha seja utilizada em diferentes serviços, basta uma invasão para que a vulnerabilidade se espalhe para todas as contas.
A utilização de informações pessoais na criação das senhas facilita esse processo ao fornecer palavras-chave aos criminosos. Atualmente, a obtenção desses dados é cada vez mais simples, devido às redes sociais. O nome de um filho ou a data de aniversário, por exemplo, tornam-se acessíveis a invasores a partir de uma única e simples publicação.
Peres fornece dicas para aumentar a dificuldade desse tipo de invasão e salienta que a segurança digital é construída por camadas. Além de senhas fortes, é necessário revisar constantemente os e-mails de recuperação e manter ativada a dupla autenticação.
“Variações baseadas em letras de música podem ajudar na criação de combinações fortes e memorizáveis. Escolha um trecho específico e adicione outros detalhes, como caracteres especiais e números”, orienta.
Outro risco associado às invasões de e-mails é a troca dos dados de acesso pelo criminoso, impedindo que o dono legítimo da conta faça login e contenha o ataque. “Em muitos casos, a recuperação só é possível por via judicial. Quando um e-mail é comprometido, o impacto pode ser amplo, pois ele dá acesso a arquivos na nuvem, listas de senhas e dados pessoais”, reforça Peres.
Benefícios e riscos de gerenciadores de senhas
Armazenar múltiplas senhas, aleatórias ou personalizadas, costuma exigir registro para futura consulta. Foi pensando nesse propósito que empresas como o Google criaram seus gerenciadores de senhas, que oferecem a opção de salvamento assim que a credencial é utilizada pela primeira vez. O registro fica guardado no armazenamento interno do dispositivo, não sendo possível acessá-lo externamente.
Mesmo reconhecendo sua utilidade, Peres alerta que o acesso de criminosos a essas informações é possível. “Como elas [as senhas] ficam armazenadas em nuvem, basta que o criminoso tenha acesso a um de seus dispositivos para consegui-las. Ainda assim, é melhor usar um gerenciador do que esquecer a senha com frequência e precisar trocá-la a todo momento”, diz.
‘Phishing’ e sites falsos: o golpe invisível
Outra forma mais sutil de obter dados pessoais na internet ocorre quando a própria vítima entrega suas informações aos criminosos. Essa prática é chamada de “phishing”. As senhas e dados são “pescados” enquanto a vítima tenta, por exemplo, acessar sua rede social por meio de uma página falsa. Ao falhar na primeira tentativa, o golpista a redireciona para a plataforma original. Dessa forma, a vítima não percebe que forneceu seus dados a um criminoso e acredita ter apenas se confundido ou digitado algum caractere incorretamente.
Plataformas como “PhishTank” fazem a compilação de sites já identificados como fraudulentos. Assim, é possível consultar a aparência dessas tentativas de invasão e os artifícios utilizados para mascarar sua inautenticidade.
“Sites falsos são criados especificamente para capturar senhas sem levantar suspeitas. Alguns são mal feitos, mas outros podem ser tão bem elaborados — ou até mais — do que o site original. O objetivo não é causar lentidão ou problemas visíveis no computador, mas justamente passar despercebido. Em poucos minutos, é possível criar uma página falsa capaz de salvar login e senha em um banco de dados”, salienta Peres.
Há outras formas de se praticar “phishing”. O que caracteriza a prática criminosa é a utilização de engenharia social para fazer com que a vítima entregue seus dados, consciente ou inconscientemente — como a revelação do IP ao utilizar um Wi-Fi público.
Ao simplesmente compartilhar o mesmo roteador de internet, o cracker — termo utilizado para aquele que invade com propósito criminoso — pode encontrar brechas no dispositivo e, assim, redirecionar os acessos para páginas falsas, mesmo que, para a vítima, a “porta” utilizada pareça legítima.
“O criminoso busca formas de induzir o clique. A partir disso, é possível coletar informações como endereço IP, cidade, provedor de internet, navegador e até o modelo do dispositivo utilizado. Esse tipo de prática não depende necessariamente da invasão de sistemas, mas da exploração do comportamento do usuário”, conclui o especialista.
Segurança digital nas salas de aula
A reportagem foi às ruas para ouvir dos londrinenses o nível de atenção e preocupação com o tema da segurança digital em suas vidas. Logo na primeira entrevista, a professora de robótica da rede pública Rosilene Salomão informou que este foi o primeiro conteúdo abordado na volta às aulas, nesta quinta-feira (5). Para ela, o tema é “um dos mais importantes em nossa sociedade hiperconectada”.
“Trabalho sempre isso com eles, especialmente sobre a exposição de imagem. Desde os mais novos, no 6º ano do fundamental, até os alunos do 3º ano do ensino médio. Ensino a necessidade de variação das senhas e, como utilizamos várias plataformas, peço que anotem todas em um caderno, já que o celular é proibido em sala”, destaca.
A professora relembra que seu esposo já teve uma de suas contas invadida por criminosos, o que causou prejuízos financeiros. “Lá em casa era uma senha para todo mundo; agora mudamos e criamos novas, com variações de caracteres”, salienta.
Senhas descartáveis
Questionada sobre seu gerenciamento de senhas, a atendente de uma loja de departamento, Diana Nascimento Martins, conta que raramente se recorda das senhas criadas e precisa, com frequência, recorrer à opção “esqueci minha senha”.
“Antigamente, eu utilizava a mesma senha para tudo; hoje vejo como isso é perigoso. Comecei a trocar porque as próprias plataformas passaram a exigir critérios específicos, como caracteres especiais e numeração. Agora, toda vez que vou entrar, preciso recuperá-la porque nunca me lembro qual era”, desabafa, aos risos.
Por meio de um número telefônico antigo, que havia sido vendido para outra pessoa, a conta do Facebook de Martins foi acessada sem sua autorização. “Uma mulher conseguiu entrar usando apenas essa informação. Foi uma grande confusão para retirar o acesso dela do meu perfil”, recorda.