Hora de trocar suas senhas. Foto: Pexels.

Mais de 10 milhões de senhas de e-mails de brasileiros foram expostas na internet em um vazamento global, incluindo 70 mil senhas do setor público, como de e-mails da Câmara dos Deputados, do Supremo Tribunal Federal (STF) e da Petrobras.

Segundo o Estadão, o vazamento aconteceu no começo de fevereiro e foi descoberto pela empresa de cibersegurança Syhunt. 

O arquivo de 100 GB foi publicado no mesmo fórum onde, em janeiro, hackers colocaram à venda bases de dados que comprometeram 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos. 

Inicialmente, as bases de senhas foram postadas em 2 de fevereiro. Após a publicação original ter sido removida, os arquivos foram repostados no dia 17.

Desta vez, foram expostas 3,28 bilhões de senhas para cerca de 2,18 bilhões de endereços únicos de e-mail. Elas foram disponibilizadas integralmente de forma gratuita, podendo ser baixadas por qualquer pessoa.

O hacker que postou os dados chama o arquivo de “Comb”, uma sigla para “compilation of many breaches” (a compilação de muitas violações, em tradução livre). Segundo o jornal, essa é uma indicação de que as informações têm origens distintas, agregando diferentes vazamentos.

Entre as informações de brasileiros, existem pelo menos 10 milhões de senhas. Esse é o número de credenciais referente apenas a e-mails do domínio “.br”. A análise não incluiu serviços de e-mail muito populares no Brasil, como Gmail e Hotmail, então o número de brasileiros atingidos pode ser muito maior.

A base publicada seria, ainda, organizada e permitiria uma busca simples de endereços de e-mail para verificar quais as senhas vazadas. 

“No vazamento de janeiro, havia milhões de e-mails. Essas informações podem ser cruzadas com a base de senhas e permitir acesso dos criminosos”, alertou Felipe Daragon, fundador da Syhunt, ao Estadão. 

No mega vazamento de dados de janeiro, o criminoso colocou à venda e-mails de 77,8 milhões de pessoas e de 15,8 milhões de empresas. 

Além disso, diversos e-mails tiveram mais de uma senha vazada, o que permite identificar o padrão de criação de senhas. Com esse padrão em mãos, é possível até mesmo tentar prever futuras novas senhas criadas para os endereços.

No Brasil, o vazamento afetou milhares de senhas da administração pública, incluindo Câmara, STF, Anac, Anatel, Caixa BNDES, ministérios como Turismo e Transportes, além de secretarias estaduais de Saúde.

No total, 4.584 domínios da administração pública foram afetados, incluindo 68.535 senhas de e-mails no domínio “gov.br”. O domínio mais exposto foi o “caixa.gov.br”, com 2.197 senhas vazadas. Outras 4.589 senhas do domínio “jus.br” foram disponibilizadas.

Somente do domínio “stf.jus.br”, foram encontradas 98 senhas. A reportagem encontrou pelo menos um e-mail diretamente ligado ao gabinete do ministro Dias Toffoli, além de um e-mail diretamente ligado ao gabinete do então ministro Teori Zavascki, morto em 2017. 

Além disso, 218 senhas do domínio “camara.leg.br” estão listadas. Nesta base, é possível encontrar o e-mail que o presidente Jair Bolsonaro (sem partido) usava na época em que era deputado federal.

Já na base “camara.gov.br”, foram encontradas 985 senhas, incluindo nomes que não estão mais em Brasília, como o do ex-deputado Jean Wyllys. O domínio “senado.gov.br” tem 547 senhas vazadas. 

Endereços ligados à presidência da república também aparecem. O domínio “presidencia.gov.br” teve 28 senhas vazadas e o “cnv.presidencia.gov.br”, uma. Nenhum dos endereços estava ligado diretamente a nomes que passaram pela presidência nos últimos mandatos. 

Também aparecem senhas de e-mails da Receita Federal, da Advocacia Geral da União, da Anvisa, do Butantan, da Funai, do IBGE, da Infraero, do Inpi, do INSS e da Polícia Militar em diversos Estados, incluindo São Paulo, Paraná e Distrito Federal. 

Endereços ligados à prefeituras, como Santos, Santo André e Salvador, estão no pacote. 

“As senhas ‘gov.br’ não significam que os sistemas da administração pública tenham sido invadidos. Esses endereços e senhas, em sua grande maioria, parecem ter sido utilizados em serviços na internet que foram comprometidos”, explicou Daragon ao Estadão.

A reportagem também encontrou no vazamento 8.863 senhas ligadas à Petrobras. Nenhum endereço, porém, está ligado a presidentes que passaram pelo comando da empresa nos últimos 10 anos.

Foi possível encontrar também um endereço possivelmente ligado ao ministro da Economia, Paulo Guedes, da época em que estava na BR Investimentos. 

A recomendação do especialista da Syhunt agora é que as senhas de e-mail sejam trocadas, com novas senhas aleatórias, imprevisíveis, não utilizando nenhum padrão ou elemento de senhas anteriores.

Além de ter 20 caracteres, incluindo letras maiúsculas e minúsculas, números e símbolos, é preciso que cada serviço tenha uma única senha.

Para saber se um endereço de e-mail já esteve em bases de vazamentos, é possível acessar sites como o have i been pwned, que monitoram situações de vazamentos de e-mails e senhas.