A Cybernews noticia 16 mil milhões de credenciais roubadas, obtidas com recurso a malware, e disponibilizadas da Internet. “Uma das maiores violações de dados da história.”

Cerca de 3.5 mil milhões dessas credenciais pertencem, supostamente, a utilizadores portugueses.

Este não é o primeiro leak massivo deste ano. No mês passado, foram descobertas na Internet 184 milhões de palavras-passe da Apple, Google, Facebook e Amazon. Meses antes, um ficheiro contendo quase 10 mil milhões de palavras-passe roubadas. Chamado RockYou2024, foi descoberto por investigadores de segurança. No início do ano passado, foram também descobertos 26 mil milhões de registos comprometidos.

When using infostealers, hackers don’t need to brute-force their way into networks. Instead, they wait for users to slip up and download malicious code in the form of pirated software, infected PDFs, a game mode, or other malware.

Some of the exposed datasets included information such as cookies and session tokens, which makes the mitigation of such exposure more difficult. These cookies can often be used to bypass 2FA methods, and not all services reset these cookies after changing the account password. Best bet in this case is to change your passwords, enable 2FA, if it is not yet enabled, closely monitor your accounts, and contact customer support if suspicious activity is detected.

Até ao momento não recebi qualquer alerta via Mozilla Monitor, ou "Have I Been Pwned?", pelo que presumo não ter sido afectado.

No entanto, uso e recomendo procedimentos simples para garantir segurança e privacidade na utilização da Internet, e para partilhar e arquivar informação confidencial, procedimentos esses que mitigam e compartimentam os riscos e consequências de acesso não-autorizado a essa informação.

E vou, definitivamente, forçar e acelerar a adopção de 2FA (autenticação por 2 factores) no acesso aos (felizmente poucos) sistemas críticos onde essa possibilidade ainda não existe.

E vocês?