Vazamentos de senhas estão se tornando cada vez mais comuns e, a cada notícia de nova ocorrência, pode surgir a dúvida: como descobrir se algum dado já foi roubado ou se o nome da empresa ou mesmo de usuários estão rodando no submundo da internet?

Em janeiro de 2024, um grande vazamento na dark web expôs informações como dados governamentais e credenciais de acesso de empresas e serviços online, dentre os quais LinkedIn e Twitter (agora X). Batizado de “a mãe de todas as violações”, o ataque revelou 26 bilhões de arquivos e mais de 12 terabytes de dados. Outros casos anteriores conhecidos incluem a exposição de dados do Cam4, que disponibilizou quase 11 bilhões de registros, e o chamado Coleção nº 1, que revelou 773 milhões de nomes de login e senhas roubados anteriormente de várias organizações. 

O chefe do Laboratório de Pesquisa na América Latina da ESET, empresa especialista em detecção proativa de ameaças, Camilo Gutiérrez Amaya, recomenda medidas de segurança para pessoas e empresas e explica porque mesmo com medidas rigorosas de segurança em vigor, as credenciais de uma conta ainda podem ficar presas em várias listas, principalmente devido a ataques a grandes empresas. 

“Os gerenciadores de senhas são fundamentais ​​quando se trata de lidar com uma grande quantidade de logins, pois podem armazená-las com segurança e gerar senhas complexas e exclusivas para cada uma de suas contas online. Nem é preciso dizer, entretanto, que você precisa usar uma senha mestra forte, mas memorável, para acessá-lo. Embora não sejam imunes a ataques, recursos como a verificação de senhas vazadas e a integração com sistemas de autenticação de dois fatores (2FA) atualmente disponíveis em muitas plataformas online minimizamos riscos de exposição”, diz o chefe do Laboratório.

O Haveibeenpwned.com é uma ferramenta de checagem recomendada pela ESET. Este site possui um dispositivo gratuito que pode informar quando e onde dados pessoais, como endereço de e-mail ou senhas, apareceram. Basta digitar o endereço de e-mail e clicar em “pwned?”. A tela exibe uma mensagem informando sobre o status de segurança das credenciais, bem como o vazamento exato em que elas estiveram envolvidas. Para os sortudos, o resultado é verde, indicando que não houve exposição. Para os menos afortunados, o site fica vermelho, indicando em qual violação de dados as informações apareceram.

Alguns navegadores da web como Google Chrome e Firefox verificam se houve inclusão de senhas em alguma violação de dados conhecida. O Chrome também pode recomendar senhas mais fortes por meio do módulo de gerenciamento de senhas ou oferecer outros recursos para melhorar a segurança de senhas.

Pode-se usar ainda um gerenciador de senhas específico que tenha histórico comprovado, inclusive por meio de criptografia forte. Essas ferramentas normalmente incluem software de segurança multicamadas confiável.

Para evitar o impacto de vazamentos de credenciais, é fundamental usar a autenticação de dois fatores (2FA) em todos os sites que a permitem, idealmente na forma de uma chave de segurança dedicada para 2FA ou de uma aplicação de autenticação como o Microsoft Authenticator ou o Google Authenticator. Isto dificulta aos invasores o acesso às contas, mesmo que tenham obtido os códigos de login de alguma forma. Além disso, deve-se evitar senhas simples e curtas, como uma palavra e um número. Uma boa prática é usar frases que podem ser mais seguras e fáceis de lembrar. 

Em caso de dúvida, a ESET disponibiliza uma ferramenta para gerar senhas ou verificar a força das existentes, no endereço https://www.eset.com/br/password-generator/.

Usar senhas diferentes para cada conta evita ataques como “recheio de credenciais”, que reutiliza as mesmas combinações em vários serviços online. 

Não é recomendado escrever os dados de acesso em papel ou armazená-los em um aplicativo de anotações, assim como o armazenamento de credenciais de conta em navegadores da web, que geralmente os salvam como arquivos de texto simples, o que os torna vulneráveis ​​a vazamentos de dados por malware.

Para empresas, a ESET aconselha o investimento em ferramentas como software de detecção e resposta, que pode evitar violações e incidentes de segurança. Além disso, indica-se a redução proativa da superfície de ataque e a reação imediata a qualquer suspeita constatada. A gestão de vulnerabilidades é essencial, pois estar ciente das lacunas ajuda a prevenir a exploração por cibercriminosos.

É fundamental observar a importância de treinamento em segurança cibernética e a segurança de terminais e e-mail para a equipe de trabalho. Um ataque pode ser facilmente desencadeado, por exemplo, quando um funcionário abre um anexo de e-mail suspeito ou clica em um link. 

A implementação de uma solução de prevenção de perda de dados(DLP) e de uma política de backup sólida é primordial. Além disso, lidar com grandes volumes de dados de clientes e funcionários exige práticas rígidas de criptografia. A criptografia de credenciais locais pode proteger esses dados confidenciais, dificultando a exploração de informações roubadas pelos invasores sem acesso às chaves de criptografia correspondentes.

“Em última análise, não existe uma solução única para todos e cada usuário ou empresa deve adaptar a sua estratégia de segurança de dados às suas necessidades específicas e ao cenário de ameaças em evolução. No entanto, uma combinação das melhores práticas de segurança cibernética contribuirá muito para evitar vazamentos e violações de dados”, conclui Gutiérrez Amaya, pesquisador da ESET América Latina.