Um suposto banco de dados com quase 10 bilhões de senhas está sendo vendido em fóruns clandestinos, reacendendo o debate sobre segurança digital. O arquivo, que teria 9,8 bilhões de registros, combina dados de violações anteriores e pode ser usado em ataques de credential stuffing. Entenda o que se sabe até agora e como se proteger.

O que se sabe sobre o vazamento?

Relatos indicam que um hacker está oferecendo uma coleção de senhas atualizada, chamada "RockYou2021", que foi ampliada com novos dados. O arquivo original de 2021 já continha 8,4 bilhões de senhas; a nova versão supostamente chega a 9,8 bilhões, segundo postagens em marketplaces da dark web. Embora não haja confirmação independente, especialistas em segurança cibernética avaliam que a ameaça é real, pois grande parte dos dados parece ser composta por violações anteriores já conhecidas. A venda ocorre em fóruns restritos, onde o comprador pode adquirir o pacote completo para uso em ataques automatizados.

Por que isso é perigoso?

Com uma lista tão vasta de senhas, criminosos podem realizar ataques de preenchimento de credenciais (credential stuffing) em larga escala. Eles testam as senhas vazadas em sites populares como Gmail, Facebook, Instagram, serviços bancários e plataformas de comércio eletrônico. Se você utiliza as mesmas credenciais em diferentes serviços, suas contas podem ser comprometidas rapidamente. Senhas fracas, como "123456", "senha" ou "qwerty", são particularmente vulneráveis. Além disso, mesmo senhas fortes podem estar comprometidas se foram armazenadas em texto simples em violações passadas.

Segundo a empresa de segurança CyberNews, uma compilação similar exposta em 2021 já continha senhas reais que permitiam acesso a milhões de contas. O novo vazamento, se confirmado, pode aumentar significativamente a superfície de ataque.

Como saber se fui afetado?

Ferramentas como "Have I Been Pwned" (haveibeenpwned.com) permitem verificar se seu e-mail ou senha aparecem em vazamentos conhecidos. Basta inserir seu e-mail e a plataforma consulta sua base de dados. Se seu e-mail estiver na lista, é altamente recomendável trocar a senha imediatamente e ativar a autenticação em dois fatores (2FA). Também é aconselhável utilizar um gerenciador de senhas para criar e armazenar senhas únicas e complexas.

Dicas de segurança essenciais

  • Crie senhas longas e aleatórias, com pelo menos 12 caracteres, incluindo letras maiúsculas, minúsculas, números e símbolos.
  • Nunca reutilize a mesma senha em serviços diferentes. Um gerenciador de senhas pode ajudar a gerenciar múltiplas credenciais.
  • Ative a verificação em duas etapas (2FA) em todas as contas que oferecerem esse recurso, preferencialmente usando um aplicativo autenticador em vez de SMS.
  • Desconfie de e-mails, mensagens ou ligações suspeitas que solicitem dados pessoais ou senhas — nenhuma empresa legítima pede isso.
  • Mantenha seu sistema operacional, navegador e aplicativos sempre atualizados para corrigir vulnerabilidades de segurança.
  • Realize backups regulares dos seus dados importantes para evitar perdas em caso de ataque de ransomware.
  • Monitore seus extratos bancários e faturas de cartão de crédito com frequência.

Perguntas Frequentes (FAQ)

O vazamento de 10 bilhões de senhas é verdade?

Ainda não há confirmação oficial, mas a credibilidade é considerada alta porque os dados parecem combinar violações anteriores. O pesquisador de segurança CyberNews já reportou uma lista similar em 2021. Mesmo que parte dos dados já esteja desatualizada, a compilação representa um risco significativo.

Senhas criptografadas estão seguras?

Muitas senhas no vazamento estão em texto simples ou protegidas por hashes fracos, como SHA-1, que podem ser quebrados com técnicas de força bruta. Portanto, mesmo senhas salvas com hash podem ser recuperadas se forem fracas. Para senhas fortes com bcrypt ou Argon2, a quebra é mais difícil, mas não impossível.

Devo mudar todas as minhas senhas agora?

Se você suspeita que alguma de suas senhas foi exposta (e a melhor forma é verificar no Have I Been Pwned), mude-a imediatamente em todas as contas que a utilizam. É uma boa prática trocar senhas regularmente, especialmente em contas sensíveis como e-mail, banco e redes sociais.

Como criar uma senha forte?

Use uma combinação de letras maiúsculas, minúsculas, números e símbolos. Evite palavras do dicionário, datas de nascimento ou sequências previsíveis. Um exemplo: "mK9#zR4!vB7@". Prefira frases longas (passphrases) como "MinhaCasaLimpa2024#!" que são fáceis de lembrar e longas o suficiente.

O que mais posso fazer para me proteger?

Além do 2FA e de senhas fortes, considere usar chaves de segurança física (como YubiKey) para contas críticas. Monitore seus extratos bancários, ative notificações de login e utilize um serviço de monitoramento de crédito se disponível.

O que é credential stuffing?

É um ataque em que criminosos utilizam listas de nomes de usuário e senhas obtidas em violações para tentar acessar contas em outros sites, explorando a reutilização de credenciais. Um firewall de aplicação web (WAF) e sistemas de detecção de anomalias podem ajudar a bloquear esse tipo de tentativa.