Proponha uma correção, faça uma sugestão
Novo recorde de roubo de dados! 16 mil milhões de contas surgem na Internet
Investigadores acabam de descobrir uma das maiores roubo de dados da história. Os especialistas obtiveram 16 mil milhões de dados de contas disponíveis gratuitamente na Internet. Contas da Apple, Google, Facebook e Telegram foram afetadas. Os dados foram obtidos com recurso a malware.
16 mil milhões de contas, um novo máximo
Investigadores descobriram mais de 16 mil milhões de credenciais roubadas online. Ao vasculhar a Internet, os especialistas descobriram 30 conjuntos de dados contendo mais de 3,5 mil milhões de registos. As informações comprometidas incluem credenciais, como nomes de utilizador e endereços de e-mail, bem como palavras-passe. Os diretórios contêm também tokens de acesso, cookies de login e metadados. Os investigadores chamam-lhe “uma das maiores violações de dados da história”.
Não foi possível descobrir a identidade do proprietário dos dados roubados. Acredita-se que as informações comprometidas foram obtidas sobretudo por infostealers, malware especializado em roubo de dados. Os dados roubados pelos vírus foram combinados com informações obtidas através de outras violações ou ataques de preenchimento de credenciais, que envolvem a utilização de credenciais já comprometidas para aceder a uma infinidade de plataformas.
Os investigadores referem que existem duplicados nos 16 mil milhões de registos comprometidos. As mesmas credenciais de login estão presentes em várias fugas. Por conseguinte, o verdadeiro número de vítimas é difícil de determinar. Os diretórios expostos incluem dados de redes sociais (Facebook, Telegram), serviços de cloud (Google, Apple, GitHub), VPNs, portais empresariais e governamentais, plataformas de desenvolvimento e serviços financeiros (WeChat, Alipay).
Dados apareceram acessíveis na Internet
Na maioria dos casos, os dados são recentes. Não se trata de “violações antigas e recicladas, mas sim de informações recentes e exploráveis, concebidas para uso em massa”, sublinham os investigadores. A boa notícia é que as informações não estiveram expostas online durante muito tempo. No entanto, os dados permanecem nas mãos de indivíduos potencialmente mal-intencionados.
Este não é o primeiro leak massivo deste ano. No mês passado, foram descobertas na Internet 184 milhões de palavras-passe da Apple, Google, Facebook e Amazon. Meses antes, um ficheiro contendo quase 10 mil milhões de palavras-passe roubadas. Chamado RockYou2024, foi descoberto por investigadores de segurança. No início do ano passado, foram também descobertos 26 mil milhões de registos comprometidos.
Com o aumento constante das violações de dados, os cibercriminosos têm todas as informações necessárias para o capturar. Para evitar cair na armadilha de um hacker, os utilizadores devem dedicar algum tempo a ativar a autenticação de dois fatores e escolher uma palavra-passe forte e complexa. Acima de tudo, não devem reciclar as palavras-passe.
Loading ...
As da MS não foram roubadas?
Foi a mesma coisa que eu pegar num casaco velho e da-lo a alguém. Para esse alguém o casaco é novo.
Isto é regular aparecer… é apenas uma compilação de leaks anteriores.
Daí a repetição dos dados…
E essas dicas de “tanga” que todos os websites de informática dão:
Use senhas compridas e complexas, use autenticação de 2 factores, use gestores de password.
Funcionam?
Sim, podem “afastar” ou “dificultar um pouco” hackers amadores. Mas certamente existem passwords dessas que foram comprometidas. Aliás neste vazamento também existem passwords vazadas de serviços VPN.
E acredito que mesmo os serviçinhos na internet de “gestores de password” como Bitwarden têm sido invadidos.
Coloquem todas as vossas passwords num servicinho desses, e quando foi invadido o Hacker terá acesso aos “ovos todos na mesma cesta”.
Aaa o esperto és tu 😉 sim, as dicas funcionam, mas depois há os espertos, aquela esperteza saloia que vai e não faz as dicas cercas: senhas compridas e complexas, use autenticação de 2 fatores e não se esqueça das senhas. E se é uma pessoa esquecida, aponta as senhas nalgum lado?
Não, no limite use um gestor de password. Pelo menos, fica seguro, e se atacada e tiver os dois fatores, continua a lembrar-se da senha e está protegido. Mas os espertos depois a meio mudam as regras.
Nem todos os gestores de passwords são seguros. Apenas os que são mantidos offline, numa rede interna, são seguros. Nunca mas NUNCA utilizem gestores de passwords online.
Lá está, é uma boa dica, mas o Chrome, por exemplo, tem a base de dados das palavras-passe na cloud, que partilha entre os equipamentos que o utilizador quiser.
O melhor é usar sempre os dois factores.
As passwords complexas e segundos factores de autenticação fortes (Passkeys, FIDO U2F, FIDO2) são úteis para evitar que a seguir ao furto da base de dados, consigam entrar e fazer-se passar pelo utilizador.
Segundos factores de autenticação médios como o envio de SMS’s para autenticação, também dificulta um pouco, porque nem todos os atacantes têm acesso a métodos de contornar tal obstáculo… muitos têm, mas não são todos.
Apenas o código que muda a cada 30 segundos “OTP” é que é que pode ser inútil se a base de dados furtada contiver esse segredo lá guardado (pode não ter, porque a plataforma pode guardar em outra base de dados que não seja furtada, ou pode ter cifrado com uma chave que não esteja acessível ao atacante).
Gestores de passwords não são imunes a ataques! Coloque “os ovos todos na mesma cesta” coloque.
Eu não faço isso.
https://www.beyondidentity.com/resource/password-managers-hacked-a-comprehensive-overview
O problema mais grave dos gestores de password foi terem as bases de dados disponíveis online, aí é óbvio que estão vulneráveis, por mais que a empresa jure mesmo com o dedo mindinho e tudo que estão muito seguras e até tenha uma auditoria de segurança.
As versões só locais, continuam vulneráveis, mas pelo menos o impacto tende a ser menos generalizado, porque têm de ir atacar o dispositivo individual de cada um(a), em vez de apenas um servidor algures em um centro de dados onde está lá a base de dados com milhões de contas.
Não existem nada 100% seguro. O ideal, para além da outras medidas de segurança, é mesmo, tentar decorar as passwords. Ou então utilizar passkeys.
nem assim, bast o local a máquina onde colocas a pass estar comprometida com algum keylogger ou outro tipo de ameaça e já foste! 2FA, ajuda a mitigar
existe sim! eu tenho pass com mais de 15 dígitos e tenho tudo num bloco escrito a caneta numa gaveta em casa e mudo a cada 6 meses! tenho os dois fatores entre outras medidas e nunca tive problemas!
Deixar a pass num gestor online é um erro!
para mim assim é 100% seguro!
Fake news. Isso são tudo passwords antigas juntas numa só base de dados. Não houve nenhum “mega roubo” recente.
Quem não deve, não teme.