Vazamento de 16 bilhões de credenciais: o alerta que (ainda) ignoramos

     A postura reativa ainda impera nas organizações. A notícia recente do vazamento de 16 bilhões de credenciais, números que, por si, são difíceis de dimensionar, é mais um alerta sobre a fragilidade das práticas de segurança da informação adotadas pelos usuários e, principalmente, pelos próprios agentes de tratamento de dados.

     Segundo levantamento de especialistas em cibersegurança, divulgado pelo canal cybernews, foram expostas mais de 16 bilhões de combinações de e-mails, senhas, tokens e cookies de sessão, obtidas por meio de malwares do tipo infostealers (programas que atuam de forma silenciosa nos dispositivos dos usuários, capturando credenciais armazenadas em navegadores, aplicativos e extensões).

     Embora não se trate, tecnicamente, de uma invasão direta a bases corporativas (como servidores de empresas ou plataformas), os dados comprometidos são suficientes para permitir o acesso indevido a contas de e-mail, redes sociais, sistemas bancários e ambientes corporativos, pois facilitam, inclusive o uso de engenharia social para tal finalidade.

     E aqui está o ponto: não é preciso que o vazamento parta do controlador para que os riscos jurídicos se materializem.

                                                  Mas afinal, quem é responsável?

     A LGPD, em seu artigo 46, é clara ao impor ao agente de tratamento o dever de adotar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda ou alteração.

     Mesmo que o incidente se origine de um fator externo, neste caso, a infecção do dispositivo do titular, é importante reforçar que a responsabilidade do controlador não se esgota na origem do incidente.

     Se os sistemas internos não contam com autenticação em dois fatores (2FA), se as senhas não são periodicamente revisadas, se não há monitoramento de acessos indevidos ou mesmo se o usuário não é devidamente orientado sobre práticas seguras de uso da informação, a omissão pode ser interpretada como falha de segurança.

     Não é por outro motivo que a Autoridade Nacional de Proteção de Dados (ANPD), em suas manifestações técnicas, já sinalizou que a ausência de governança em privacidade pode configurar infração, mesmo que a falha ocorra fora do ambiente técnico da empresa.

                                               O Risco coexiste e precisa ser mitigado.

     Até mesmo dentro da sua organização, você já ouviu algo como “Uso a mesma há anos e nunca tive problema”; “nunca clico em links suspeitos, estou seguro”.  É justamente nessa falsa sensação de controle que mora o risco, sobretudo, diante de tal incidente. Portanto, é necessário rever senhas que impliquem na segurança da organização e revisitar políticas que tratam sobre o tema.

     No cenário atual, senhas repetidas, fracas ou armazenadas em navegadores são verdadeiras portas abertas para a atuação de agentes maliciosos. E, diante de um vazamento como o que acompanhamos, não há tempo a perder: é imperativo revisar todas as credenciais de acesso utilizadas nas plataformas corporativas e pessoais.

     Se for possível substituir o uso de senha por passkeys, melhor. Se for possível eliminar o armazenamento automático de credenciais no navegador, excelente.

     O vazamento de 16 bilhões de credenciais não é apenas um número assustador: é um sintoma de um ecossistema digital fragilizado, no qual os titulares, empresas e instituições ainda tratam a segurança da informação como um custo e não como parte essencial de sua sustentabilidade e perenidade.

     Rever políticas internas, revisar senhas, orientar equipes, investir em autenticação forte, adotar soluções tecnológicas de segurança e, principalmente, abandonar a lógica do “comigo não acontece”.