\nVazamentos de senhas estão se tornando cada vez mais comuns e, a cada notícia de nova ocorrência, pode surgir a dúvida: como descobrir se algum dado já foi roubado ou se o nome da empresa ou mesmo de usuários estão rodando no submundo da internet?<\/p>\n
Em janeiro de 2024, um grande vazamento na dark web<\/a> expôs informações como dados governamentais e credenciais de acesso de empresas e serviços online, dentre os quais LinkedIn e Twitter (agora X). Batizado de “a mãe de todas as violações<\/em>”, o ataque revelou 26 bilhões de arquivos e mais de 12 terabytes de dados. Outros casos anteriores conhecidos<\/a> incluem a exposição de dados do Cam4<\/a>, que disponibilizou quase 11 bilhões de registros, e o chamado Coleção nº 1,<\/a> que revelou 773 milhões de nomes de login e senhas roubados anteriormente de várias organizações. <\/p>\n O chefe do Laboratório de Pesquisa na América Latina da ESET, empresa especialista em detecção proativa de ameaças<\/a>, Camilo Gutiérrez Amaya, recomenda medidas de segurança para pessoas e empresas e explica porque mesmo com medidas rigorosas de segurança em vigor, as credenciais de uma conta ainda podem ficar presas em várias listas, principalmente devido a ataques a grandes empresas. <\/p>\n “Os gerenciadores de senhas são fundamentais ??quando se trata de lidar com uma grande quantidade de logins, pois podem armazená-las com segurança e gerar senhas complexas e exclusivas para cada uma de suas contas online. Nem é preciso dizer, entretanto, que você precisa usar uma senha mestra forte, mas memorável, para acessá-lo. Embora não sejam imunes a ataques, recursos como a verificação de senhas vazadas<\/a> e a integração com sistemas de autenticação de dois fatores (2FA) atualmente disponíveis em muitas plataformas online minimizamos riscos de exposição”, diz o chefe do Laboratório.<\/p>\n O Haveibeenpwned.com<\/strong><\/a> é uma ferramenta de checagem recomendada pela ESET<\/a>. Este site possui um dispositivo gratuito que pode informar quando e onde dados pessoais, como endereço de e-mail ou senhas, apareceram. Basta digitar o endereço de e-mail e clicar em “pwned?”. A tela exibe uma mensagem informando sobre o status de segurança das credenciais, bem como o vazamento exato em que elas estiveram envolvidas. Para os sortudos, o resultado é verde, indicando que não houve exposição. Para os menos afortunados, o site fica vermelho, indicando em qual violação de dados as informações apareceram.<\/p>\n Alguns navegadores da web como Google Chrome<\/a> e Firefox verificam se houve inclusão de senhas em alguma violação de dados conhecida. O Chrome também pode recomendar senhas mais fortes por meio do módulo de gerenciamento de senhas ou oferecer outros recursos para melhorar a segurança de senhas.<\/p>\n Pode-se usar ainda um gerenciador de senhas <\/a>específico que tenha histórico comprovado, inclusive por meio de criptografia forte. Essas ferramentas normalmente<\/a> incluem software de segurança multicamadas confiável.<\/p>\n Para evitar o impacto de vazamentos de credenciais, é fundamental usar a autenticação de dois fatores<\/a> (2FA) em todos os sites que a permitem, idealmente na forma de uma chave de segurança dedicada para 2FA ou de uma aplicação de autenticação como o Microsoft Authenticator ou o Google Authenticator. Isto dificulta aos invasores o acesso às contas, mesmo que tenham obtido os códigos de login de alguma forma. Além disso, deve-se evitar senhas simples e curtas<\/a>, como uma palavra e um número. Uma boa prática é usar frases que podem ser mais seguras e fáceis de lembrar. <\/p>\n Em caso de dúvida, a ESET disponibiliza uma ferramenta<\/a> para gerar senhas ou verificar a força das existentes, no endereço https:\/\/www.eset.com\/br\/password-generator\/<\/a>.<\/p>\n Usar senhas diferentes para cada conta evita ataques como “recheio de credenciais”<\/a>, que reutiliza as mesmas combinações<\/a> em vários serviços online. <\/p>\n Não é recomendado escrever os dados de acesso em papel ou armazená-los em um aplicativo de anotações, assim como o armazenamento de credenciais de conta em navegadores da web<\/a>, que geralmente os salvam como arquivos de texto simples, o que os torna vulneráveis ??a vazamentos de dados por malware.<\/p>\n Para empresas, a ESET aconselha o investimento em ferramentas como software de detecção e resposta<\/a>, que pode evitar violações e incidentes de segurança. Além disso, indica-se a redução<\/a> proativa da superfície de ataque<\/a> e a reação imediata a qualquer suspeita constatada. A gestão de vulnerabilidades é essencial, pois estar ciente das lacunas ajuda a prevenir a exploração por cibercriminosos.<\/p>\n É fundamental observar a importância de treinamento em segurança cibernética<\/a> e a segurança de<\/a> terminais e e-mail<\/a> para a equipe de trabalho. Um ataque pode ser facilmente desencadeado, por exemplo, quando um funcionário abre um anexo de e-mail suspeito<\/a> ou clica em um link. <\/p>\n A implementação de uma solução de prevenção de perda de dados<\/a>(DLP) e de uma política de backup sólida<\/a> é primordial. Além disso, lidar com grandes volumes de dados de clientes e funcionários exige práticas rígidas de criptografia. A criptografia de credenciais locais pode proteger esses dados confidenciais, dificultando a exploração de informações roubadas pelos invasores sem acesso às chaves de criptografia correspondentes.<\/p>\n “Em última análise, não existe uma solução única para todos e cada usuário ou empresa deve adaptar a sua estratégia de segurança de dados às suas necessidades específicas e ao cenário de ameaças em evolução. No entanto, uma combinação das melhores práticas de segurança cibernética contribuirá muito para evitar vazamentos e violações de dados”, conclui Gutiérrez Amaya, pesquisador da ESET América Latina.<\/p>\n <\/p>\n