top of page
Buscar

Nada de novo sob o sol (mas tem mais gente prestando atenção)

  • Foto do escritor: Maria Godoy
    Maria Godoy
  • 30 de jun.
  • 7 min de leitura

Privacidade se constrói no hábito, não no susto. Vazamento não é novidade, mas o jeito como os dados estão sendo usados muda tudo sobre o que significa estar (in)seguro na internet.


Photo by FlyD on Unsplash
Photo by FlyD on Unsplash

Hoje, enquanto escrevo, começa uma nova semana. Poderia ser só mais uma linda (e gelada) segunda-feira de inverno trabalhando do sul do Brasil para o mundo. Mas pra mim está sendo a segunda-feira depois de uma semana que trouxe um clima meio tenso lá no grupo de Whatsapp da família com essas manchetes:


Se eu estava esperando algo para começar a escrever aqui, ah, agora não tenho mais o que esperar: acho que o que isso que vem sendo noticiado como o “maior vazamento de dados da história”, é suficiente.

Vou te contar bem rapidamente do que se trata esse “vazamento”, mas desde já quero te tranquilizar em alguns pontos:

  • Você não está sozinho.

  • Não é o apocalipse digital (ainda).

  • Mas também não pode passar batido.


Vou te explicar o porquê.


Vamos aos fatos

Esse é, sim, um dos maiores vazamentos de dados já registrados. O número, certamente, impressiona: 16 BILHÕES de registros, incluindo logins, senhas e URLs de origem, vazados. Dá pra dizer que é mais do que o dobro da população mundial, ou seja, muita gente teve mais de um registro exposto.


E, dentre as contas afetadas, temos diversas plataformas muito conhecidas, de uso quotidiano, como Google, Facebook, Apple, Telegram, GitHub e até alguns órgãos públicos. Ao menos, acredita-se que essas plataformas não foram invadidas diretamente.


Na verdade, os indícios são de que a maioria desses dados veio de ataques silenciosos com infostealers, uns programas que se instalam sem grande alarde no seu computador (potencialmente, até no seu celular), e capturam o que estiver salvo por lá, desde o seu histórico de acessos até senhas.


Sabe aquela coisa “boa demais pra ser verdade”? Muitas vezes esses infostealers são instalados justamente por meio de links com promessas tentadoras, anexos vindos sabe-se lá de onde e downloads que parecem inofensivos.


Então, esses dados coletados ao longo de meses (ou até anos) são revendidos, trocados ou simplesmente organizados em grandes pacotes e jogados em fóruns clandestinos da dark web (ou mesmo da web comum, com acesso restrito), para que os cibercriminosos façam o que bem entenderem com eles - para abrir portas para acesso direto a contas, ou podendo transformar esses dados em peças de um quebra-cabeça maior, conectando pontas soltas até montar um retrato detalhado o suficiente para enganar sistemas, invadir contas ou assumir identidades que não são deles.


Esse vazamento chama atenção por vários motivos, mas talvez o principal não seja (só) o volume, mas sim a maneira como os dados foram organizados.


Os mais de 16 bilhões de registros, extraídos de aproximadamente 30 bancos de dados distintos, foram reunidos num só pacote, como se alguém tivesse decidido colocar ordem no caos, transformar fragmentos esquecidos em uma arma potente. É como se uma biblioteca antiga, cheia de páginas soltas, tivesse sido reorganizada em livros inteiros, por assunto, autor e data de publicação. De repente, tudo ficou mais inteligível. É isso que temos com esse vazamento.


Nada de novo sob o sol (mas tem mais gente enxergando agora)


A gente já vive nesse risco digital faz tempo.


Tem gente tratando esse vazamento como um evento sem precedentes, quase como se o mundo digital tivesse virado de cabeça pra baixo da noite pro dia. Mas a sensação que eu tenho, depois de anos de prática dentro de startups até gigantes globais, é que a única coisa que realmente mudou foi o foco da coisa. Esses dados, ou pelo menos boa parte deles, já circulavam por aí.


Pesquisadores apontam que boa parte do vazamento é uma mistura de dados coletados por malwares, credenciais reaproveitadas de vazamentos antigos e informações reorganizadas. E como há sobreposição entre as fontes, não dá pra saber ao certo quantas pessoas ou contas foram realmente expostas. Agora, tudo isso de uma vez virou manchete - e aí, claro, parece algo extraordinário.


Mas o cenário de risco digital em que a gente vive já é antigo. O que esse episódio fez foi lembrar a gente, de uma forma bem gritante, concordo, de que algo de errado não está certo - digamos assim, em linguagem bem popular. Então não, não acho exagero dizer "nada de novo sob o sol". O novo, talvez, seja só o tanto de gente finalmente começando a prestar mais atenção.


O diferencial desse vazamento e de outros desse porte é que eles viram combustível para golpes dos mais variados: desde e-mails falsos a invasões de contas e sequestros de sistemas inteiros. E quando os dados vazados incluem não só logins e senhas, mas também tokens, cookies e metadados recentes, o risco aumenta, principalmente pra quem ainda não usa autenticação em dois fatores ou segue repetindo aquela senha antiga por preguiça ou “falta de tempo pra mexer nisso” (alerta desculpa esfarrapada).


Então sim, eu continuo achando que não é exatamente uma novidade, mas mais uma confirmação do que quem trabalha na área já sabe há tempos. Os riscos da vida digital sempre estiveram aqui. Usar a mesma senha pra tudo, salvar credenciais no navegador, ignorar autenticação em duas etapas... tudo isso é uma gota nesse oceano - mas o que seria do oceano sem as gotas, não é mesmo?


Mas aqui entra uma nuance importante, e que, como profissional da área, me sinto responsável por trazer com clareza: quando dados vazados são organizados, acessíveis e usáveis, eles se tornam mais perigosos. Talvez esse seja um dos pontos mais interessantes dessa história. Pra mim, e para vários outros profissionais, esse tipo de vazamento indica uma mudança no comportamento dos criminosos digitais: em vez de depender só de grupos no Telegram ou fóruns soltos, por exemplo, eles estão cada vez mais profissionais, colocando tudo em bases mais organizadas e fáceis de navegar, uma espécie de “Google Drive” do crime, onde tudo está arrumado, classificado e pronto pra ser usado - e em volumes surpreendentes.


Mesmo que alguma parte desse vazamento seja resultado da “reciclagem” de vazamentos antigos, a forma como ele foi estruturado, e a adição de dados novos, aumenta o alcance e a velocidade com que golpes e ataques podem acontecer.


Uma coisa é ter senhas soltas, desconectadas, difíceis de aproveitar. Outra é oferecer, num só arquivo, login, senha, URL de origem, e até o país da vítima, como foi o caso de mais de 3,5 bilhões de registros ligados a usuários de língua portuguesa (ai meu Brasil), segundo os pesquisadores do Cybernews. Ou seja: o cenário é o mesmo, mas o terreno vem mudando. Agora ele está mais plano, mais navegável. E isso para quem quer usar os dados na malícia, é um prato cheio.


Então, apesar de eu defender que não é um apocalipse digital e que você não precisa entrar em pânico, também não é uma desculpa pra seguir vivendo digitalmente no piloto automático. A diferença entre “você pode ser alvo” e “sua senha está, de fato, à venda” é sutil, mas real.


A escala dos vazamentos recentes mostra isso. Em 2024, a chamada Mother of All Breaches (MOAB) trouxe 26 bilhões de registros vazados. Também no ano passado, o RockYou2024 veio com 10 bilhões de senhas. E, mais recentemente, a China viveu aquele que talvez seja seu maior vazamento de dados, com a exposição de bilhões de documentos financeiros, dados do WeChat, Alipay, informações pessoais muito sensíveis.


Tudo isso junto mostra a tal da mudança no terreno, com trilhões de registros com dados médicos, financeiros, de localização, escorrendo diariamente para o lado mais obscuro da internet.


Está tudo perdido? Não. Mas também não podemos mais tratar privacidade como algo simples e natural. Privacidade, e proteção de dados, está se tornando um luxo.


Privacidade é um hábito, não um ato


Muita gente me pergunta o que fazer numa hora dessas. A verdade é que não existe botão mágico. Não é questão de “numa hora dessas”. O que existe é hábito.


Segurança digital não é um estado de paz absoluta, que você aperta uns botões, instala um aplicativo, configura dois ou três ajustes e pronto, vida resolvida. É uma prática, um processo contínuo. É como escovar os dentes, usar cinto de segurança, se alimentar. São coisas que a gente faz repetidamente para se manter saudável, seguro, vivo, mesmo quando nada demais está aparentemente acontecendo.


Por isso, se tem algo que eu gostaria que você levasse dessa nossa newsletter inaugural, é o seguinte: não é sobre reagir a um vazamento - é sobre assumir o controle da sua exposição todo santo dia, da sua identidade digital, da sua vida.


Um lembrete prático e simples

Antes de finalizar, vai aqui uma listinha de cuidados que funcionam, simples e sem pânico:

  1. Cultive o hábito de trocar senhas antigas, especialmente aquelas que você sabe que usa há anos.

  2. Não use a mesma senha em tudo. Sim, dá trabalho. Mas o risco é real.

  3. Use um gerenciador de senhas confiável. Ele faz o que o cérebro humano não dá conta.

  4. Ative a autenticação em dois fatores (2FA) em tudo que for possível.

  5. Evite clicar em links aleatórios, mesmo que pareçam urgentes ou “imperdíveis”.

  6. Monitore suas contas com frequência. Atividade estranha? Fique atento.


E o mais importante: aprenda a cultivar uma relação saudável com o mundo digital.


A tecnologia é maravilhosa, nos proporciona um crescimento incrível em todas as áreas, mas ela exige de nós um certo nível de presença e consciência. Assim como dirigir um carro exige atenção, viver na era da internet também. E no meio da complexidade de todas essas máquinas ai fora, é a nossa máquina de dentro (🧠🫀) que mais precisa estar funcionando.


Finalizando, com um lembrete


Se você está lendo essa newsletter (assine gratuitamente aqui), provavelmente já entendeu que privacidade é mais do que um direito ou uma configuração de segurança, é uma ferramenta para proteger o que você tem de mais valioso: a sua família, seu patrimônio, sua liberdade, sua paz de espírito.


Por isso, sigo aqui. Para escrever, compartilhar, refletir, e, sempre que possível, traduzir o mundo digital para quem não quer (e não precisa) virar especialista em cibersegurança ou regulação.


Se tiver dúvidas, compartilha comigo. Se quiser enviar essa edição pra algum conhecido, fique à vontade. A segurança digital, como quase tudo de valor, se fortalece quando é compartilhada!


Abraços, com a calma de quem desliga notificações e moe o próprio café,

Maria Godoy


✉️ Se essa edição te ajudou, considere deixar um comentário ou compartilhar com alguém que também precisa desse lembrete gentil.


🧠 A Máquina de Dentro volta em breve — sempre que o mundo digital tentar atravessar demais os nossos limites humanos. Se você ainda não está inscrito, inscreva-se agora: https://mgodoy.substack.com/subscribe

 
 
 

Comments

bottom of page