Mais de 10 milhões de senhas de brasileiros são expostas em vazamento global
Mais de 10 milhões de senhas de brasileiros estão expostas em um compilado de dados vazados e agregados ao longo de, no mínimo, três anos. O combo ainda inclui 68.535 senhas ligadas a emails da administração pública do país.
Os dados estão em um compilado global, com cerca de 3,2 bilhões de registros (emails e senhas) vazados de diversos países, que veio à tona no início de fevereiro, de acordo com sites especializados internacionais.
A empresa de cibersegurança Syhunt levantou quais deles eram relativos ao Brasil, e chegou a 9,78 milhões de senhas ligadas a domínios “br”, conforme publicou o jornal O Estado de S. Paulo nesta sexta (5).
O número deve ser muito superior porque não foi possível averiguar quais contas de domínios como Gmail, Hotmail e Yahoo, são de brasileiros.
De acordo com o levantamento da Syhunt, entre os 20 domínios brasileiros (com endereço “.gov” de email) com maior número de senhas expostas estão Caixa, Previdência, Fatec, Câmara dos Deputados, Prefeitura de São Paulo, Tribunal de Justiça do Rio Grande do Sul, Prefeitura de Macaé, entre outros.
Também há emails de servidores da Petrobras e da Justiça. O STF (Supremo Tribunal Federal) se pronunciou sobre as senhas de 98 emails expostas da Ccorte. Afirmou que servidores usaram o endereço eletrônico do tribunal para fazer cadastro em sites na internet.
“Não se trata de nenhum tipo de invasão a sistemas da Suprema Corte”, afirmou o STF.
Apesar da insegurança de alguns sites da administração pública, é provável, de acordo com especialistas, que os servidores utilizem as credenciais para acesso a outros sites, de modo que as empresas estatais não precisam ser invadidas para que esses dados sejam expostos. Ou seja, basta se cadastrar com o email corporativo em uma página insegura.
O compilado tem sido chamado de PWCOMB21 (sigla em inglês para um termo como “compilado de senhas de diversas violações em 2021”). A origem dos dados é diversa, vindo de diferentes empresas dos setores público e privado ao longo de anos.
Não há, segundo a Syhunt, ligação direta entre esse compilado e a exposição e venda de 220 milhões de dados de brasileiros, noticiada em janeiro, embora eles tenham sido evidenciados no mesmo fórum.
De acordo com Felipe Daragon, fundador da Syhunt, em 2017 hackers publicaram o primeiro combo de emails e senhas, um total de 1,4 bilhão de credenciais do mundo todo. A versão publicada em fevereiro foi uma espécie de atualização, agora com 3,2 bilhões de senhas.
Os especialistas da Syhunt identificaram que várias senhas vazadas coincidiam com as já utilizadas pelos usuários. Um dos principais problemas desse compilado é a evolução do registro de senhas pessoais ao longo dos anos, o que pode levar um criminoso a descobrir a nova senha de um usuário que tenha trocado.
Por exemplo, se a pessoa apenas acrescenta um novo caractere na hora de atualizar a senha ou muda apenas o nome do personagem de um mesmo filme, dá indícios de um padrão de senha que utiliza.
Não é possível saber se as senhas estão atualizadas, mas é provável que algumas estejam. De qualquer modo, manter vulnerável o histórico de senhas já é um risco ao cidadão.
Em alguns casos, a empresa de segurança digital detectou de três a 30 senhas relacionadas a um único endereço de email.
Para se proteger, usuários devem alterar suas senhas para palavras complexas, evitando sequências alfabéticas, com diferentes caracteres e números.
Em nota, o Serpro (Serviço Federal de Processamento de Dados) afirmou que as 323 contas identificadas com domínio “serpro.gov.br” se referem a dados pessoais cadastrados, em outros sites ou portais externos, por meio de login utilizando o email corporativo, “portanto, não tendo como origem as bases de dados administradas pela empresa”.
Diz, ainda, que suas bases de dados e as bases do governo sob sua operação permanecem íntegras e que não houve qualquer tipo de incidente de segurança nos domínios administrados pela empresa.
A reportagem procurou a ANPD (Agência Nacional de Proteção de Dados), mas ainda não obteve retorno.
