cibersegurança | WebaDesign - Empresa de Webdesign - Desenvolvimento Web Design Macaé e Curitiba

Megavazamento expõe 16 bilhões de senhas na internet; veja como se proteger

20 de junho de 2025

Megavazamento expõe 16 bilhões de senhas na internet; veja como se proteger

Vazamento de 16 bilhões de credenciais é uma compilação de cerca de 30 bases de dados distintas (ilustração: Vitor Pádua/Tecnoblog)

Resumo

Megavazamento expôs 16 bilhões de credenciais de serviços como Google, Apple e Facebook, oriundas de 30 vazamentos diferentes.
Dados foram extraídos por malwares do tipo “infostealer”, comuns em ataques de phishing e downloads maliciosos.
Como medidas de segurança, recomenda-se não reutilizar senhas, ativar autenticação em dois fatores e usar gerenciadores de senhas.

Um vazamento recorde de 16 bilhões de credenciais de acesso foi revelado recentemente por pesquisadores de cibersegurança. Conforme noticiado pelo site Cybernews nesta quinta-feira (19/06), a base de dados, uma das maiores já encontradas, não é resultado de um ataque hacker único a uma grande empresa. Em vez disso, trata-se de uma compilação de cerca de 30 vazamentos distintos.

Pense nesses 16 bilhões de dados vazados como uma enorme lista telefônica bagunçada: o mesmo nome e número podem aparecer várias vezes. Mesmo removendo todas as repetições, os especialistas acreditam que a quantidade de vítimas reais é imensa, provavelmente na casa das centenas de milhões ou até bilhões de pessoas.

Quais dados vazaram e de onde vieram?

O que torna este vazamento tão perigoso não é só a quantidade de senhas. Especialistas afirmam que a lista pode funcionar como uma espécia de “mapa do tesouro” para cibercriminosos. Diferente de listas antigas, que geralmente contêm senhas velhas e já trocadas, esta nova compilação tem informações roubadas recentemente, que provavelmente ainda funcionam.

A análise inicial revelou que o acervo continha informações de login (nomes de usuário e senhas) associadas a empresas como Apple, Google (incluindo o Gmail), Facebook, Telegram, serviços governamentais e corporativos, além de plataformas de desenvolvedores e redes privadas virtuais (as VPNs).

A coleção de credenciais estava exposta em repositórios online de fácil acesso. Segundo o portal, continha dados “recentes e bem organizados”, com uma estrutura clara de URL, nome de usuário e senha, tornando-os “prontos para uso” em ataques cibernéticos automatizados em larga escala.

Credenciais foram coletadas dos dispositivos das vítimas, e não por meio de uma invasão aos servidores das empresas (ilustração: Vitor Pádua/Tecnoblog)

A origem dos dados é atribuída principalmente à ação de malwares do tipo “infostealer” (ladrão de informações), que infectam dispositivos dos usuários e coletam informações sensíveis salvas em navegadores e outros aplicativos.

Esse tipo de programa malicioso é feito para entrar em um aparelho e agir discretamente para pegar informações importantes. As formas mais comuns de contaminação incluem:

Download e instalação de software pirata;

Abertura de anexos maliciosos em e-mails de phishing (o clique em links suspeitos);

E a visita a sites que podem executar downloads maliciosos sem o conhecimento do usuário.

Uma vez executado no sistema, o infostealer varre o dispositivo em busca de dados valiosos. Ele pode extrair senhas armazenadas em navegadores como Chrome e Firefox, copiar arquivos de cookies que permitem o acesso a contas sem a necessidade de senha, registrar as teclas digitadas pelo usuário (keylogging) e até mesmo capturar imagens da sua tela.

Qual o impacto do vazamento no Brasil?

Até o momento, não foram divulgadas informações que associem a origem de parte dos dados a empresas ou plataformas com operação exclusiva no Brasil.

No entanto, usuários brasileiros estão potencialmente entre os afetados, dado o alcance das plataformas envolvidas, o que reforça a necessidade de atenção.

Como saber se fui vítima?

Boas práticas reduzem os riscos de vazamentos (ilustração: Vitor Pádua/Tecnoblog)

Para averiguar se um endereço de e-mail foi comprometido em algum vazamento conhecido publicamente, os usuários podem recorrer a ferramentas especializadas. Uma das mais conhecidas é o site Have I Been Pwned?, mantido pelo especialista em segurança Troy Hunt.

A plataforma permite que qualquer pessoa insira seu e-mail e verifique se ele consta em milhares de bases de dados vazadas analisadas pelo serviço ao longo dos anos. Se seu e-mail estiver listado, é um sinal de alerta de que as senhas associadas devem ser trocadas imediatamente.

No Brasil, serviços como o Serasa Premium permitem monitorar o CPF, e-mails e números de telefone do usuário na dark web, enviando alertas em tempo real caso os dados sejam encontrados à venda ou em fóruns clandestinos, além de notificar sobre consultas ao CPF e outras movimentações suspeitas. O serviço, no entanto, é pago e custa R$ 23,90 ao mês.

O que fazer para se proteger?

Um conjunto de boas práticas pode reduzir os riscos associados a vazamentos de dados. A principal delas é evitar a reutilização de senhas em diferentes serviços. Quando uma senha é exposta, invasores a testam em outras contas da mesma vítima, em um ataque conhecido como “credential stuffing“.

Outra medida fundamental é a ativação da autenticação de dois fatores (2FA) sempre que o serviço oferecer. Esse recurso adiciona uma camada extra de segurança, exigindo um segundo código (geralmente enviado para o celular do usuário) para autorizar o acesso.

O uso de um gerenciador de senhas também é altamente recomendado. Esses programas criam e armazenam senhas complexas e únicas para cada site, exigindo que o usuário memorize somente uma senha mestra.

Além disso, é crucial manter sistemas operacionais e programas, especialmente antivírus, sempre atualizados para se proteger contra malwares como os infostealers.

Evite baixar software pirata, “crackeado” ou de fontes não oficiais. Esses programas são um dos principais vetores de infecção. Desconfie também de e-mails, mensagens de texto ou em redes sociais que solicitem informações pessoais, contenham links suspeitos ou criem um senso de urgência, e sempre verifique a identidade do remetente antes de clicar em qualquer coisa.

Com informações do Cybernews
Megavazamento expõe 16 bilhões de senhas na internet; veja como se proteger

Megavazamento expõe 16 bilhões de senhas na internet; veja como se proteger
Fonte: Tecnoblog

Invasão a sistema da Adidas expõe dados de clientes de todo o mundo

27 de maio de 2025

Invasão a sistema da Adidas expõe dados de clientes de todo o mundo

Consumidores receberam email da Adidas (imagem: divulgação)

Resumo

O sistema de atendimento ao cliente da Adidas, gerido por uma terceirizada, sofreu invasão que expôs dados pessoais, mas não financeiros, de consumidores.
Informações como nome, e-mail, telefone e data de nascimento podem ser usadas por golpistas em fraudes e contatos falsos.
Adidas afirma que já tomou medidas para investigar e conter o incidente.

A Adidas enviou um comunicado aos seus clientes em todo o mundo sobre um possível vazamento de dados. Segundo a empresa, o acesso aos dados dos consumidores ocorreu por meio de uma invasão aos sistemas de um provedor de serviços ao cliente terceirizado. As informações acessadas pelos cibercriminosos são nome, e-mail, telefone, sexo e data de nascimento dos consumidores.

A Adidas afirma que nenhuma informação sobre métodos de pagamento foi roubada. Todos os dados foram extraídos do sistema de atendimento ao cliente, que demanda apenas os dados listados anteriormente. O Tecnoblog testou o sistema de atendimento no site da Adidas e ele segue funcionando neste momento.

Qual o risco do vazamento de dados dos clientes da Adidas?

O vazamento das informações listadas pela Adidas pode ser usado por golpistas para contatar vítimas. A informação da data de nascimento tem outro risco, que é ser usada pelos criminosos para passar mais autenticidade na aplicação de um golpe.

Comunicado enviado pela Adidas informa dados que foram acessados por criminosos (imagem: Lucas Lima/Tecnoblog)

O que fazer para me proteger do vazamento de dados da Adidas?

A principal ação que o cliente afetado deve tomar é se manter atento a contatos suspeitos via telefone ou e-mail. Por exemplo, um golpista pode ligar para a vítima se passando pela Adidas e pedindo dados financeiros — algo que a empresa e outras companhias não fazem. Os criminosos podem ainda enviar e-mails de phishing aos alvos, se passando pela marca.

O que a Adidas está fazendo para proteger os dados dos consumidores?

No comunicado enviado aos clientes, ao qual o Tecnoblog teve acesso, a empresa informa que está aprimorando as medidas de segurança. Além disso, a Adidas afirma que já tomou medidas para investigar e conter o incidente.

No início deste mês, a Adidas comunicou clientes na Turquia e Coreia do Sul sobre um problema idêntico, mas com divulgação de endereço. Não há informações se o caso do início do mês e este divulgado nesta segunda-feira (26/05) estão relacionados — ainda que ambos tenham em comum o acesso ao serviço de atendimento ao cliente.

Com informações do BleepingComputer
Invasão a sistema da Adidas expõe dados de clientes de todo o mundo

Invasão a sistema da Adidas expõe dados de clientes de todo o mundo
Fonte: Tecnoblog

Microsoft implora: usem as passkeys para se protegerem

20 de dezembro de 2024

Microsoft implora: usem as passkeys para se protegerem

Microsoft reforça que usuários devem utilizar passkeys para se manterem suas contas mais seguras (Imagem: Vitor Pádua / Tecnoblog)

A Microsoft está fazendo um apelo para os internautas: usem os passkeys para proteger as suas contas de hackers. A big tech fez uma publicação em seu blog relatando os seus esforços em convencer as pessoas a usarem essa tecnologia para logar em suas contas. Parte da estratégia de convencimento envolve melhorias no design e experiência do usuário.

No blog, a Microsoft revela que seus serviços de segurança bloquearam 7.000 ataques a senhas por segundo em 2024 — o dobro do ano passado. A big tech ainda relata que houve um aumento de 146% nos ataques do tipo man in the middle, no qual o cibercriminoso intercepta o tráfego de dados da vítima com algum serviço (como um internet banking).

Além da Microsoft, Google e Apple também defendem o uso de passkeys (chaves de acesso) para a segurança das contas. As três empresas até estão atuando em conjunto para que a solução seja integrada entre os sistemas e serviços das empresas. Por exemplo, uma chave de acesso do seu Microsoft 365 sendo usada para acessar a conta no macOS.

Passkey é aposta das big techs para ampliar a segurança das contas e impedir ataques (Imagem: Vitor Pádua/Tecnoblog)

Como a Microsoft vem convencendo os usuários a adotar o passkey?

A Microsoft explicou que primeiro passou a exibir a opção de adotar um passkey na criação das contas e durante o login. Com isso a big tech aprendeu que o termo passkey não é popular. A Microsoft então trocou pelos termos “rosto, digital ou pin”, o que facilitou o entendimento da modalidade da chave de acesso.

Esse método de incluir a opção de criar passkey após o login foi mais eficiente do que a Microsoft esperava. Afinal, quando você entra em uma conta você quer logo usar o serviço. Contudo, a estratégia da big tech foi efetiva e levou 25% dos usuários a criarem uma passkey — valor cinco vezes maior do que a empresa esperava.

Ao resetar uma senha o usuário também é convidado a criar uma passkey. Após escolher uma chave de acesso, ela se torna a opção padrão na hora de logar em uma conta. A meta da Microsoft e das big techs é acabar de vez com o uso de senhas, adotando apenas métodos imunes à phishing.

Por que passkeys são importantes para a segurança digital?

Passkey evitam ataques de phising e também resolvem o problema do esquecimento de senha (imagem ilustrativa: Vitor Pádua/Tecnoblog)

As passkeys podem ser armazenadas no dispositivo, como o telefone ou computador, e podem ser um PIN, digital ou reconhecimento facial. O método de usar um aplicativo autenticador também é uma forma de passkey.

Chaves de acesso biométricas impedem que o usuário caia em alguma tentativa de phishing — PINs são números e podem ser roubados, seja por alguém te espiar enquanto você digita ou por te enganar a passar o código. Como é necessário o seu rosto ou a sua digital para entrar na conta, o hacker não pode copiar a sua digital ou seu rosto.

Passkeys biométricas também não sofrem o problema de esquecimento. Você pode esquecer a senha, mas não o seu dedo ou rosto. A Microsoft também explica que as chaves de acesso deixam o login mais ágil — e dispensam você de realizar as etapas de recuperação de senha caso tenha esquecido.

Com informações: Tech Radar
Microsoft implora: usem as passkeys para se protegerem

Microsoft implora: usem as passkeys para se protegerem
Fonte: Tecnoblog

Chefe do ransomware Lockbit é identificado com US$ 100 milhões na conta

8 de maio de 2024

Chefe do ransomware Lockbit é identificado com US$ 100 milhões na conta

Força-tarefa internacional revelou a identidade de LockBitSupp, chefe do grupo de ransomware LockBit (Imagem: Divulgação/NCA)

O chefe do grupo de ransomware LockBit teve a sua identidade revelada nesta terça-feira (7). A Operação Cronos, formada por uma força-tarefa de 16 órgãos de segurança de 11 países, divulgou que o russo Dmitry Yuryevich Khoroshev, de 31 anos, comanda da organização. Segundo a investigação, Khoroshev acumulou US$ 100 milhões com os cibercrimes.

A Operação Cronos foi deflagrada em fevereiro deste ano e é liderada pela National Crime Agency (NCA), do Reino Unido. A força-tarefa conseguiu prejudicar a atividade do grupo LockBit e prender diversos membros envolvidos nos ataques de ransomware. Além da NCA, integram a força-tarefa órgãos de segurança da Alemanha, Austrália, Canadá, Finlândia, França, Estados Unidos, Japão, Países Baixos, Suécia, Suíça e Inglaterra, com apoio da Europol.

Estados Unidos pagará recompensa de US$ 10 milhões

Site do LockBit na DeepWeb foi tomado por força-tarefa em fevereiro, mas identidade do chefe foi revelado neste mês (Imagem: Reprodução/BleepingComputer)

A justiça dos Estados Unidos está oferecendo uma recompensa de US$ 10 milhões por qualquer informação que leve à captura de Khoroshev. A dificuldade é que o alvo é russo e o país não permite a extradição de seus próprios cidadãos.

Ciente dos riscos que corre, Khoroshev não deve se locomover para qualquer país com tratado de extradição com os Estados Unidos. A Austrália, os Estados Unidos e o Reino Unido publicaram sanções contra o chefe do LockBit. Se condenado, Khoroshev pode pegar até 145 anos de prisão.

A recompensa ofertada pela justiça americana é 10% do que o fundador do LockBit ganhou com ransomware desde 2019. A Operação Cronos especula que o grupo lucrou US$ 500 milhões coma atividade, sendo que Khoroshev ganhou US$ 100 milhões nesse período.

O LockBit funcionava como um “Ransomware-as-a-Service”, na qual outros cibercriminosos utilizavam o sistema do grupo para realizar os ataques. Uma porcentagem da arrecadação ficavam com o LockBit.

Segundo a NCA, os ataques ransomware que utilizam a tecnologia do LockBit caíram 73% no Reino Unido desde fevereiro, com outros países também relatando quedas desses ataques.

Com informações: Ars Technica
Chefe do ransomware Lockbit é identificado com US$ 100 milhões na conta

Chefe do ransomware Lockbit é identificado com US$ 100 milhões na conta
Fonte: Tecnoblog

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Category: cibersegurança

Megavazamento expõe 16 bilhões de senhas na internet; veja como se proteger

Invasão a sistema da Adidas expõe dados de clientes de todo o mundo

Microsoft implora: usem as passkeys para se protegerem

Chefe do ransomware Lockbit é identificado com US$ 100 milhões na conta