Megavazamento expõe 183 milhões de credenciais do Gmail e outros serviços

O criador do site Have I Been Pwned, Troy Hunt, revelou nesta segunda-feira (27) um vazamento massivo de dados que expôs mais de 183 milhões de credenciais de usuários do Gmail e de outros serviços de e-mail. Ao todo, 3,5 terabytes de informações foram comprometidos em uma das maiores exposições já registradas na história da internet.

• Como montar uma senha segura | Guia Prático
• Proteja suas contas: como ativar a autenticação em duas etapas nas redes sociais

A violação ocorreu em abril deste ano, mas só agora se tornou pública após Hunt cruzar dados encontrados em fóruns e bases de dados da dark web. Diferentemente de ataques convencionais a empresas específicas, essa exposição é resultado de anos de atividade de infostealers — softwares maliciosos que infectam dispositivos e capturam credenciais à medida que usuários fazem login em sites. "Uma vez que os criminosos têm seus dados, eles frequentemente se replicam repetidas vezes através de vários canais e plataformas", explicou Hunt em seu blog.

O caso reacende o debate sobre a segurança de dados pessoais e levanta questões sobre como as gigantes de tecnologia protegem as informações de seus usuários. Embora o Google tenha se apressado em negar que houve uma violação específica aos seus sistemas, classificando os relatos como "falsos" e "imprecisos", a empresa não pode se isentar completamente da responsabilidade quando quase 200 milhões de suas contas de usuários aparecem em bases de dados criminosas.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Anatomia do ataque: como os infostealers agem

Os dados expostos não são fruto de um único ataque direcionado ao Gmail ou a qualquer outro provedor específico. Na verdade, trata-se de uma coleção massiva de "stealer logs" — arquivos gerados por malware instalado em computadores infectados que capturam três informações fundamentais sempre que um usuário acessa um site: o endereço do site, o e-mail utilizado e a senha digitada.

Benjamin Brundage, analista da plataforma de inteligência de ameaças Synthient e responsável por descobrir e compartilhar os dados com Hunt, monitorou durante meses diversos canais onde essas informações circulam, incluindo redes sociais, fóruns, a rede Tor e, principalmente, o Telegram. O resultado foi um volume de dados tão vasto que o maior arquivo sozinho tem 2,6 TB; combinados, os registros totalizam 23 bilhões de linhas.

O funcionamento dos infostealers é silencioso e devastador. Uma vez instalado no dispositivo da vítima — geralmente através de downloads de software pirateado, extensões maliciosas de navegador ou anexos de e-mail — o malware monitora continuamente a atividade online. Cada vez que o usuário digita suas credenciais em qualquer site, seja para acessar o Gmail, fazer compras na Amazon ou conferir o saldo bancário, o infostealer captura e envia essas informações para servidores controlados por criminosos.

Hunt verificou a autenticidade dos dados contactando diversos usuários afetados. Um deles confirmou que sua conta Gmail havia sido comprometida, admitindo usar uma senha "subótima". Outro usuário tinha um padrão revelador de sites visitados, incluindo cassinos online, plataformas de criptomoedas e serviços de VPN — todos confirmados como legítimos pelo próprio usuário. "Eles parecem todos sites que eu usei e alguns ainda uso", confirmou a vítima.

Impacto vai além do e-mail

A verdadeira dimensão do problema se torna clara quando entendemos que não são apenas as senhas de e-mail que foram comprometidas, mas também as credenciais únicas que os usuários utilizam em dezenas de outros serviços. Como Hunt ressaltou, "os stealer logs expõem as credenciais que você insere nos sites que visita e depois faz login".

Isso significa que se sua conta de e-mail aparece nessa base de dados, potencialmente estão expostas também suas senhas da Amazon, Netflix, eBay, bancos online, redes sociais e qualquer outro serviço que você tenha acessado enquanto seu dispositivo estava infectado. O risco é amplificado pelo hábito comum — e perigoso — de reutilizar a mesma senha em múltiplos serviços.

As listas de credential stuffing, que também fazem parte dos dados coletados por Brundage, são devastadoras. Diferentemente dos stealer logs diretos, essas listas reúnem credenciais de diversas fontes, incluindo violações anteriores onde senhas foram armazenadas em texto simples ou protegidas por algoritmos de criptografia facilmente quebráveis. Criminosos então usam essas listas para tentar acessar outras contas das vítimas onde elas possam ter reutilizado suas senhas.

O histórico mostra quão danosas essas listas podem ser. A violação da Uber em 2017 foi atribuída a credenciais de funcionários previamente comprometidas. Cinco anos depois, a startup foi novamente invadida usando a mesma abordagem, combinada com bombardeio de autenticação multifator. O caso da 23andMe em 2023 também foi rastreado até credential stuffing, e a Dunkin' Donuts teve 20 mil detalhes de clientes expostos, sendo posteriormente processada por não ter controles suficientes para impedir que hackers simplesmente fizessem login com as credenciais legítimas das vítimas.

Gmail não foi o único alvo — mas lidera a exposição

Embora o foco seja o Gmail, Hunt foi claro ao afirmar que "todos os principais provedores têm endereços de e-mail lá". Isso inclui Yahoo, Outlook, ProtonMail e praticamente qualquer serviço de e-mail que você possa imaginar. "Eles vêm de todos os lugares que você possa imaginar, mas o Gmail sempre aparece em grande destaque", explicou o especialista australiano.

A razão para a prevalência do serviço de e-mails do Google é simples: ele é o mais popular do mundo, com bilhões de usuários ativos. Além disso, muitas pessoas usam suas contas do Gmail como login universal para acessar outros serviços através da função "fazer login com o Google", o que torna essas credenciais ainda mais valiosas para criminosos.

A análise dos dados também revelou padrões geográficos. Um usuário tinha alta prevalência de sites gregos que havia visitado, mostrando exatamente o tipo de padrão que se esperaria de alguém daquele país. Outro tinha vários sites de pesquisas online em seu histórico. Um terceiro usuário — cujo apelido não deixava dúvidas sobre seus interesses — apresentava um padrão claro de acesso a sites para adultos, consistente com os interesses aparentes do dono do endereço de e-mail.

Graham Cluley, especialista em segurança e blogueiro de tecnologia, contextualizou o problema ao Daily Mail:

"Não estamos falando sobre uma empresa sendo hackeada, mas milhões de pessoas tendo suas senhas roubadas sem saber através de malware. Com 183 milhões de endereços de e-mail expostos, é possível que muitas pessoas estejam envolvidas nisso sem nem perceber que seus computadores foram comprometidos".

De quem é a responsabilidade?

Este vazamento levanta questões importantes sobre como as Big Techs lidam com a segurança dos dados de seus usuários. Embora o Google tenha rapidamente negado que houve uma "violação específica ao Gmail", classificando os relatos como "falsos" e "imprecisos", é inegável que quase 200 milhões de suas contas de usuários aparecem em bases de dados criminosas.

Em comunicado oficial, um porta-voz do Google declarou: "Relatórios de uma 'violação de segurança do Gmail impactando milhões de usuários' são falsos. As defesas do Gmail são fortes e os usuários permanecem protegidos". A empresa acrescentou que os dados circulando online "derivam de uma má compreensão de bases de dados de infostealers, que rotineiramente compilam várias atividades de roubo de credenciais ocorrendo na web".

O argumento da empresa é tecnicamente correto — não houve uma invasão aos servidores do Google. No entanto, a prevalência massiva de credenciais do Gmail nessas bases de dados sugere que a empresa poderia fazer mais para proteger seus usuários contra infostealers e educar o público sobre os riscos. A realidade é que, uma vez que o malware está no dispositivo do usuário, pouco importa quão robustas são as defesas do servidor.

O Google informou que monitora regularmente grandes caches de credenciais roubadas e solicita que usuários afetados redefinam suas senhas quando necessário. "O Gmail toma medidas quando detectamos grandes lotes de credenciais abertas, ajudando os usuários a redefinir senhas e proteger novamente suas contas", observou a companhia.

Este não é o primeiro incidente de segurança envolvendo o ecossistema do Google neste ano. Em setembro, uma brecha na Salesforce resultou no comprometimento de aproximadamente 2,5 bilhões de contas — um número que torna os atuais 183 milhões quase modestos em comparação. Esse histórico recente de exposições massivas de dados reforça a percepção de que as Big Techs precisam repensar fundamentalmente suas abordagens de segurança.

Como ver se sua conta foi comprometida

Para verificar se você foi uma das 183 milhões de pessoas afetadas neste ou em outros vazamentos, a ferramenta mais confiável continua sendo o "Have I Been Pwned".

1. Acesse o site: haveibeenpwned.com
2. No campo de busca principal, digite seu endereço de e-mail (seja Gmail, Outlook, Yahoo ou outro).
3. Clique no botão "pwned?".

O site analisará sua base de dados e informará se o seu e-mail foi encontrado em alguma violação. Em caso positivo, ele listará exatamente em quais vazamentos seus dados apareceram (como "Synthient Stealer Log Threat Data", o nome dado a este novo conjunto).

Meus dados vazaram: o que fazer?

Se o site indicar que sua conta foi afetada, é preciso agir rapidamente. Não se trata apenas de proteger seu e-mail, mas toda a sua presença digital.

1. Altere suas senhas (no plural!)

A primeira e mais urgente medida é alterar suas senhas. Porém, o mais importante: não altere apenas a senha da sua conta de e-mail. Você deve alterar a senha em todos os serviços onde você possa ter usado essa mesma combinação de e-mail e senha.

Como é impossível lembrar de todos, a regra de ouro é: se o serviço é importante (banco, rede social, loja com cartão salvo), mude a senha. Aproveite para criar senhas fortes — com pelo menos 12 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos — e nunca as repita entre serviços. Use um gerenciador de senhas (como 1Password, Bitwarden ou o do próprio Google) para fazer isso.

2. Ative a Autenticação de Dois Fatores (2FA)

Ativar a autenticação de dois fatores é a medida de segurança mais eficaz contra o credential stuffing. Mesmo que um criminoso tenha sua senha correta, ele não conseguirá fazer login sem o segundo fator (geralmente um código enviado para o seu celular ou gerado por um aplicativo).

• No Google: Acesse myaccount.google.com/security e procure pela opção "Verificação em duas etapas".
• Em outros serviços: Procure pelas configurações de "Segurança" ou "Login" e ative a "Autenticação de Dois Fatores", "2FA" ou "Verificação em Duas Etapas".

3. Revise dispositivos e aplicativos conectados

Aproveite para fazer uma "limpeza" digital. Na mesma página de segurança da sua conta Google (myaccount.google.com/security):

• Verifique "Seus dispositivos": Veja se há algum computador ou celular desconhecido logado em sua conta. Se houver, remova-o imediatamente.
• Verifique "Apps de terceiros com acesso à conta": Revise a lista de aplicativos e sites aos quais você deu permissão para acessar sua conta. Remova tudo o que você não reconhece ou não usa mais.

Leia mais no Canaltech

• Falso navegador "privado" é malware que espiona tudo que você faz; proteja-se
• Para impedir roubo de senhas, Windows sacrifica pré-visualização de arquivos
• Descarte incorreto de etiquetas de encomendas é porta de entrada para golpes

Vídeo: Saiba como proteger todas as suas informações no celular

Fonte: Troy Hunt, Daily Mail