O pesquisador de segurança Troy Hunt, criador da plataforma Have I Been Pwned (HIBP), informou nesta segunda-feira (27) que cerca de 183 milhões de senhas e credenciais de login associadas ao Gmail foram expostas em um novo vazamento de dados. As informações foram enviadas ao HIBP para análise após a coleta feita por Benjamin Brundage, pesquisador da Synthient.
Segundo o post publicado por Brundage, os dados foram obtidos ao longo de quase um ano por meio do monitoramento de plataformas conhecidas como infostealers, softwares maliciosos que capturam informações de usuários. O conjunto de dados totalizava 3,5 terabytes e incluía aproximadamente 23 bilhões de registros.
De acordo com Hunt, os arquivos de stealer logs continham, principalmente, três tipos de dados: endereço do site, e-mail e senha. O pesquisador afirmou que, como é comum em bases desse tipo, muitas credenciais eram recicladas. Para avaliar a relevância do material, ele analisou uma amostra de 94 mil registros e constatou que 92% já haviam sido vistos anteriormente.
Mesmo assim, 8% das credenciais eram inéditas, representando mais de 14 milhões de combinações novas. Após a conclusão da análise, o número total de endereços de e-mail inéditos chegou a 16,4 milhões — todos adicionados ao banco de dados do Have I Been Pwned.
O vazamento não atinge apenas usuários do Gmail. Hunt e o Google recomendam que todos os internautas verifiquem se suas informações aparecem no HIBP. Para isso, basta acessar o site oficial do serviço.
Em nota, o Google orientou que usuários do Gmail que suspeitem de invasão façam login imediatamente e revisem as atividades recentes de suas contas. Caso não consigam acessar, devem recorrer à página de recuperação de conta e responder às perguntas solicitadas.
“Além disso, para ajudar os usuários, temos um processo de redefinição de senhas quando encontramos grandes vazamentos de credenciais como este”, afirmou a empresa.
Usuários que utilizam o Gerenciador de Senhas do Chrome podem verificar se suas senhas estão expostas ou reutilizadas por meio da ferramenta Google Password Checkup. Para isso, é necessário acessar “Senhas e preenchimento automático” no menu do navegador e selecionar Google Password Manager | Checkup.
A ferramenta exibirá senhas conhecidas por estarem comprometidas e indicará aquelas consideradas fracas ou reutilizadas. O Google reforçou a importância de alterar imediatamente qualquer senha que tenha sido exposta.
“Recomendamos que você altere quaisquer senhas comprometidas o quanto antes”, destacou a empresa.