Nos últimos dias, veículos brasileiros noticiaram um suposto “megavazamento” envolvendo aproximadamente 183 milhões de combinações de e-mail e senha, atribuídas a serviços como Gmail, Outlook e Yahoo. Até o momento, não há evidências de uma invasão direta aos servidores desses provedores, tampouco de um incidente único que tenha comprometido suas bases. O que se observa é a consolidação, por terceiros, de grandes volumes de credenciais capturadas ao longo do tempo por malwares instalados nos dispositivos dos usuários, muitas vezes reunidas em bases que incluem dados novos e dados já expostos em eventos anteriores.
Ainda que não caracterize uma falha dos provedores, o risco prático é real quando há reutilização de senhas entre diferentes serviços, ausência de autenticação multifator e dispositivos desprotegidos.
Para pessoas físicas e organizações, a ameaça mais provável é o uso dessas credenciais em ataques de credential stuffing – em que as credenciais obtidas por meio de um incidente são usadas para tentar acessar outros serviços – e o subsequente sequestro de contas de e-mail ou de sistemas corporativos integrados ao e-mail. Criminosos podem, ainda, combinar e-mail e informações parciais de senha para sofisticar golpes de phishing e engenharia social, aumentando a taxa de sucesso de fraudes financeiras, redirecionamento de pagamentos, pedido de trocas de Pix/boletos e obtenção indevida de códigos de autenticação. Nos ambientes empresariais, a ausência de controles como autenticação multifator, monitoramento de logins e política de privilégios mínimos amplifica o potencial de escalada lateral e comprometimento de dados.
Diante desse cenário, recomenda-se, de imediato, a troca de senhas das contas de e-mail e dos serviços críticos, com a adoção de senhas únicas e fortes, contendo caracteres especiais, números e letras maiúsculas e minúsculas. A ativação de autenticação multifator é medida essencial e disponível nos serviços das empresas afetadas. É igualmente relevante revisar as configurações de segurança da conta (sessões ativas, dispositivos confiáveis, aplicativos conectados, e-mail e telefone de recuperação) e revogar senhas de aplicativo antigas. Como a origem mais comum desses vazamentos são os dispositivos que se conectam e comunicam na rede, é indispensável manter soluções de antimalware atualizadas em computadores e celulares, remover extensões suspeitas do navegador e manter sistemas operacionais e navegadores atualizados. Para domínios corporativos, é útil ativar serviços de monitoramento de exposição de credenciais e verificar se endereços de e-mail da organização constam de bases conhecidas, para direcionar resets e reforço de autenticação multifator de forma preventiva.
Sob a ótica da LGPD (Lei nº 13.709/2018), este suposto incidente reforça obrigações já existentes e aplicáveis aos agentes de tratamento de dados pessoais. A LGPD impõe a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e incidentes. Além disso, a legislação recomenda boas práticas e governança, demandando programas estruturados de privacidade com políticas aprovadas, inventário de ativos, revisão periódica de riscos, auditorias, gestão de terceiros e cláusulas contratuais que estabeleçam padrões mínimos de segurança e deveres de notificação de incidentes por operadores.
Nos casos em que houve incidente que possa acarretar risco ou dano relevante aos titulares, o controlador – a quem competem as decisões relativas ao tratamento de dados pessoais – deve comunicar a ANPD e os titulares em prazo razoável, conforme o regulamento de comunicação de incidente de segurança aplicável. Por isso, é essencial que a organização disponha previamente de um Plano de Resposta a Incidentes, com critérios de materialidade bem definidos, fluxos de decisão, responsáveis, modelos de comunicação e trilhas de auditoria.
Do ponto de vista operacional, recomendamos que as empresas formalizem política de autenticação forte obrigatória, exijam o uso de autenticação multifator sempre que suportado, adotem gestor de senhas corporativo com política de não reutilização, intensifiquem a higiene de computadores com antimalware, bloqueio de extensões maliciosas e atualizações de sistema periódicas, implementem monitoramento de credenciais expostas associado a alertas de login anômalo para revogação imediata de sessões e tokens comprometidos. É igualmente recomendável treinar periodicamente as equipes em prevenção a fraudes, com simulações de phishing e verificação fora de banda para solicitações sensíveis, além de reforçar o princípio do menor privilégio nos acessos internos e de terceiros.
Em síntese, verificou-se um aumento na visibilidade de bases agregadas de credenciais capturadas em endpoints, não um ataque direto aos provedores de e-mail. Ainda assim, a exposição é relevante e exige resposta preventiva e coordenada. Para o público em geral, trocar senhas, ativar autenticação multifator e manter os dispositivos atualizados são medidas que reduzem substancialmente o risco. Para as organizações, por outro lado, a prioridade é consolidar um programa de segurança e privacidade aderente à LGPD, com foco em autenticação forte, proteção de endpoints, monitoramento de credenciais, gestão de terceiros e um plano de resposta a incidentes testado e atualizado.
Nossa equipe está à disposição para apoiar no reforço dos controles supracitados, na avaliação de exposição, adequação de políticas e contratos, e no atendimento às obrigações de comunicação de incidentes perante a ANPD e aos titulares. Entre em contato para saber mais.
—
Advogado(a) autor(a) do comentário: Pedro Moreno da Cunha Lins, Pedro Zardo Júnior e Cesar Peduti Filho, Peduti Advogados
—
Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.
If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.
