Por Samuel Cruz, diretor dos Sistemas de Informação
Em junho de 2025, o mundo digital voltou a ser confrontado com uma realidade desconfortável: os nossos dados andam por aí — e em quantidades verdadeiramente assustadoras. A mais recente mega fuga de informação, identificada por especialistas em cibersegurança, expôs cerca de 16 mil milhões de credenciais de acesso, incluindo emails, palavras-passe, tokens, cookies e outros dados associados a contas de serviços como Google, Facebook, Microsoft, Apple, Telegram, GitHub, entre outros.
Este leak, detetado por investigadores e divulgado pela equipa da Cybernews, envolve 30 conjuntos de dados diferentes, muitos deles nunca vistos, que terão sido reunidos através de malware do tipo infostealer — pequenos programas maliciosos instalados em dispositivos comprometidos, capazes de recolher dados pessoais diretamente do navegador ou do sistema operativo da vítima.
Apesar dos números impressionantes, esta não é a primeira vez que assistimos a volumes tão elevados. Em janeiro de 2024, foi divulgado aquilo a que se chamou a “Mother of All Breaches“, um ficheiro único com mais de 26 mil milhões de registos, resultado da junção de múltiplas fugas anteriores, muitas das quais já eram públicas há anos. Apesar do volume, o impacto prático desse incidente foi considerado reduzido — essencialmente, tratava-se de dados repetidos ou desatualizados.
A diferença agora está na atualidade da informação. Esta nova fuga contém credenciais reais, válidas e ativas, recolhidas recentemente, e que nunca tinham sido tornadas públicas. Em termos de risco real, este poderá ser o maior leak de sempre com dados novos. Isto coloca qualquer pessoa cujas contas estejam entre os dados expostos sob risco imediato de acesso indevido, roubo de identidade ou ataques dirigidos (como phishing ou spear phishing).
Muitos dos serviços visados ainda estão a investigar a extensão total do incidente. Ainda assim, há medidas que podemos adotar já para reduzir os riscos. O primeiro passo é alterar imediatamente as passwords das contas mais importantes, como o Google, o Facebook, a Apple ou a Microsoft, sobretudo se costuma usar a mesma palavra-passe em vários sítios — algo que, convenhamos, quase todos já fizemos. É igualmente fundamental ativar a autenticação multifactor, ou seja, aquela camada extra de segurança que lhe pede um código no telemóvel ou uma app de verificação sempre que tenta aceder à conta a partir de um novo dispositivo. Se é daquelas pessoas que vai alternando entre três ou quatro passwords diferentes há anos, este é o momento ideal para começares de novo. Reutilizar palavras-passe é, atualmente, um risco que não vale a pena correr.
