"Tomar medidas proativas" e "atualizar passwords". Conselhos para evitar a fuga de dados

Foi conhecido esta semana que milhares de milhões de passwords tinham sido encontradas numa fuga de dados, estimando-se que seja uma das maiores já registada. Com 16 mil milhões de informações roubadas agora encontradas em 30 bases de dados distintas, das quais 3,5 mil milhões só em Portugal, as empresas de cibersegurança alertam para a necessidade da proteção de dados e da constante atualização das passwords. 

"Embora seja natural ficar-se assustado com o enorme volume de dados expostos nesta fuga de informação, é importante notar que esta não se trata de uma nova ameaça - estes dados já estavam, provavelmente, em circulação", aponta Peter Mackenzie, Director of Incident Response and Readiness da Sophos, numa nota enviada às redações. "Estes conjuntos de dados são uma amálgama de informações. O que estamos a entender agora é a profundidade das informações que ficaram disponíveis para os cibercriminosos", ou seja, algumas destas listas têm anos de existência.

Também a Kaspersky, tecnológica de segurança, analisou a descoberta da Cybernews. A empresa russa observou um crescimento de 21% nas deteções de ataques de roubo de passwords a nível global entre 2023 e 2024, evidenciando o "infostealer" como uma das ciberameaças mais difundidas dos últimos anos e com capacidade de roubo acima da média.

Alexandra Fedosimova, analista de pegadas digitais da Kaspersky, lembra que "16 mil milhões de registos é um número quase o dobro da população da Terra", sendo "difícil acreditar que uma quantidade tão grande de informações possa ser exposta".

Com dados recolhidos ao longo de seis meses, e reconhecendo-se a provável duplicação "devido ao problema persistente da reutilização de senhas entre utilizadores", apenas uma das bases de dados tinha sido reportada anteriormente, contendo 184 milhões de dados. 

“A pesquisa da Cybernews fala de uma agregação de várias fugas de dados durante um longo período – desde o início do ano. Isso é um reflexo de uma economia de cibercrime próspera que industrializou o roubo de credenciais. O que estamos a ver faz parte de um mercado cibercriminoso bem estabelecido, onde as credenciais são recolhidas através de infostealers, campanhas de phishing e outros malwares, depois recolhidas, enriquecidas e revendidas", explica Dmitry Galov, diretor da Equipa Global de Investigação e Análise da Kaspersky.

"Este acontecimento representa também um momento importante para todos nos recordamos que devemos tomar medidas proativas para atualizar as palavras-passe, utilizar um serviço de gestão de passwords e ativar a autenticação multifator sempre que possível, para evitar problemas com credenciais de acesso no futuro", sublinha Peter Mackenzie da Sophos.

Existem vários serviços gratuitos que mostram que os dados foram acedidos de forma indevida, como é o exemplo do Have I Been Pwned.

Um dos conselhos mais dados pelas empresas de cibersegurança é alterar frequentemente as palavras-chave utilizadas e não usar a mesma password em vários acessos. 

Entre os truques para uma palavra-passe segura está a utilização de minúsculas, maiúsculas, números e símbolos, a utilização de frases e evitar repetições.