Listas de roubos de senhas são como "Serasa da dark web", diz especialista

O volume multibilionário de vazamentos de dados divulgado pela Cybernews mostra o risco para a segurança no mundo on-line. Segundo o estudo, 16 bilhões de logins e senhas de plataformas como Apple, Google e Facebook teriam sido vazados — número que seria inédito.

Especialistas explicam, porém, que se trata de um compilado de listas de vazamentos e avaliam que o total pode estar inflado.

Fabro Steibel, especialista do Instituto de Tecnologia e Sociedade, avalia que esse compilado de listas é como se fosse uma ‘Serasa da dark web’, que junta informações de toda uma cadeia de fornecedores de um mercado de dados ilícito, incluindo aqueles que roubam, os que vendem e os que enriquecem o dado.

— São vários robôs que ficam tentando entrar nesses sites e cada vez que entrarem, vão roubar uma informação a mais. Com isso automatizado, você consegue fazer várias tentativas de golpes. Quando o robô consegue acesso, aí intervém um humano para fazer algo mais grave. E esses ataques vêm de todos os países, não só no Brasil.

A reportagem publicada pela Cybernews revelou que as informações foram reunidas a partir de 30 bases de dados diferentes, cada uma contendo de dezenas de milhões a mais de 3,5 bilhões de dados. No entanto, reconheceu que o levantamento pode conter dados sobrepostos, duplicados e até já relatados.

Pedro Diógenes, diretor técnico da CLM, empresa especializada em segurança da informação, diz que pelo tamanho do vazamento, é bastante provável a presença de dados originados de vazamentos anteriores. Segundo ele, é comum que hackers agrupem informações antigas com novas para causar mais impacto.

— Existe total a possibilidade do número estar inflado. O cenário mais provável é que esses dados não vieram de um único vazamento, mas sim de uma coletânea de diferentes vazamentos. Essa base foi divulgada agora, mas (provavelmente) é resultado de vários hakeamentos e vazamentos que já ocorreram — explica.

"Novo petróleo"
Segundo Diógenes, vazamentos de dados ocorrem diariamente, apesar de nem sempre chegarem ao conhecimento do grande público. Essa frequência se deve ao valor que os dados pessoais adquiriram nos últimos anos: são considerados “o novo petróleo”, diz.

Para Steibel, a maior frequência de vazamentos ocorre diante de uma presença digital maior, ao passo em que os usuários não possuem preparo o suficiente para se proteger, as empresas não têm condições para garantir essa cibersegurança, além de políticas de proteção de dados que levam tempo para serem implementadas.

Plataformas podem ser responsabilizadas?
Plataformas e redes sociais podem ser responsabilizadas por vazamentos quando é resultado de uma falha sua, como em casos de invasões em seus próprios sistemas, conforme prevê a Lei Geral de Proteção de Dados (LGPD).

Se o ataque atingir diretamente o usuário — por exemplo, devido ao uso de uma senha fraca, malware ou obtenção da senha por outros meios —, e a empresa comprovar que adotou as medidas de segurança recomendadas, ela não é responsabilizada pela LGPD, explica Diógenes.

— No caso deste vazamento específico é praticamente improvável que tenha vindo de uma invasão deles, foi provavelmente roubado de usuários individuais, por meio de invasão ao dispositivo da pessoa.

Steibel diz que, embora seja de responsabilidade da empresa verificar se é realmente o usuário fazendo login, muitas das senhas não são roubadas da empresa, mas sim do próprio usuário. Quando o robô descobre senhas fracas e outros dados da pessoa, ele consegue quebrar as barreiras de segurança e fazer login nas redes sociais. Por isso, a importância de criar senhas fortes.

Procurada, a Apple e Facebook disseram que não comentariam o caso, enquanto o Google informou que não possui ainda um posicionamento sobre o assunto, mas um porta-voz informou que o problema não aconteceu por causa de uma violação de dados diretamente na empresa.

As empresas não informaram se o vazamento afetou o Brasil.

Como se proteger
Usar frases como senha, ao invés de apenas palavras e números são dicas para aumentar a proteção do usuário. Outra recomendação é colocar o mínimo possível de dados on-line e, se possível, colocar somente em servidores mais famosos.

— O que as pessoas fazem é instalar qualquer aplicativo e colocar seus dados lá. Deixar dados na rede social pode ser um problema pela escala ou pela frequência que você usa, mas mais perigoso ainda é colocar em sites que você nem conhece, só para testar joguinhos ou filtros — alerta Steibel.

Já Diógenes ressalta que adotar boas práticas de segurança digital pode aumentar a segurança do usuário final. Entre as medidas, ele cita o uso de senhas fortes, grandes e complexas, além da ativação da autenticação em dois fatores.

— É o básico. Isso já elimina no mínimo 50% dos problemas — finaliza.

Veja também