Megaleak de 16B de passwords não tem nada de novo

A notícias de 16 mil milhões ("biliões") de passwords a circular não representa nada de novo nem parece ter dados recentes.

Foi recentemente noticiado aquilo que muitos apelidaram de um dos "maiores leaks de dados da história". No entanto, a realidade é bastante menos mediática, já que se tudo indica ser uma compilação de credenciais roubadas por infostealers e que já circulavam na internet há anos.

Embora fosse referido que este leak incluia dados de contas da Google, Apple, Facebook, e outros serviços, isto não representa que qualquer um dos sites tenha sido alvo de qualquer ataque ou vulnerabilidade recentemente. E qualquer uma das contas que lá consta, ou já terá sido forçada a mudar de password há muito, ou já terá ficado comprometida há igualmente muitos anos.

Os infostealers são um tipo de malware que tenta roubar dados sensíveis das vítimas, como logins e passwords, de computadores infectados. Estes dados são enviados para os atacantes, e agrupados em ficheiros ou bases de dados que são depois vendidos. Mais tarde ou mais cedo, muitos deles acabam por ser divulgados publicamente, ou até distribuídos gratuitamente em grupos de hackers como forma de "ganharem reputação"; e com o passar do tempo, é também inevitável que os dados nestes ficheiros aumentem, podendo atingir os números astronómicos como este a que agora se assiste.

Como tal, mantêm-se as recomendações habituais: a de usar passwords fortes e diferenciadas para cada site ou serviço; utilizar autenticação de dois passos (2FA) sempre que possível; ou optar pelas passkeys em vez do sistema de login tradicional, que evita a password e combina a segurança 2FA de forma automática e mais fácil de utilizar.