183 milhões de senhas expostas e a vulnerabilidade silenciosa das contas Google

Um novo e alarmante episódio de vazamento de dados sacudiu o ecossistema digital mundial. Mais de 183 milhões de senhas e endereços de e-mail foram expostos em um megavazamento que, segundo o especialista australiano Troy Hunt, criador do site Have I Been Pwned, pode ser o maior vazamento agregado da história  recente. A base, que totaliza 3,5 terabytes de informações, inclui credenciais de serviços como Gmail, Yahoo, Outlook e outros provedores amplamente utilizados. A dimensão do problema, porém, vai muito além da quantidade de senhas comprometidas. O ponto central está na criticidade das contas Google, que hoje funcionam como o coração digital da vida moderna.

Diferente de um simples endereço de e-mail, a conta Google é uma verdadeira chave mestra que conecta o usuário a um vasto ecossistema de dados pessoais e sensíveis. A partir dela, é possível acessar o Google Maps, que armazena o histórico completo de deslocamentos e locais visitados ao longo dos anos; o Google Fotos, repositório de imagens pessoais e profissionais; o Gmail, com comunicações privadas e informações financeiras; o Google Drive, onde se guardam documentos e dados corporativos; além de YouTube, Chrome e Android, que registram preferências, senhas e hábitos de navegação. Ter uma conta Google comprometida significa entregar a um invasor o mapa completo da rotina, dos relacionamentos e até da localização de uma pessoa.

O relatório sobre o incidente indica que boa parte das senhas vazadas é fruto de malwares do tipo infostealer, que capturam credenciais salvas nos navegadores, e de ataques de credential stuffing, nos quais criminosos testam automaticamente combinações de e-mails e senhas já expostas em outros vazamentos. Mais preocupante é que cerca de 16 milhões de credenciais eram inéditas, ou seja, nunca haviam aparecido em incidentes anteriores, o que reforça a suspeita de que muitas dessas senhas ainda estão ativas e em uso.

No Brasil, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece deveres claros de segurança e governança. O artigo 46 exige que controladores e operadores adotem medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados, e o artigo 48 impõe a obrigação de comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares em caso de incidente que possa acarretar risco ou dano relevante. Empresas brasileiras que utilizam login social por meio de contas Google ou armazenam credenciais de usuários devem, portanto, verificar se seus domínios estão entre os comprometidos, forçar a troca de senhas afetadas, implementar autenticação multifator, revisar políticas internas de segurança e avaliar se é necessária a comunicação à ANPD.

A sensação de vulnerabilidade causada por esse tipo de vazamento vai além da esfera técnica. A conta Google, para milhões de pessoas, é um repositório de memórias, comunicações e traços de vida. Fotos, mensagens e trajetos guardam aspectos íntimos e intransferíveis. O acesso indevido a esses dados se transforma, portanto, em uma violação emocional e existencial, além de potencialmente criminosa, conduta que se enquadra no artigo 154-A do Código Penal, que tipifica a invasão de dispositivo informático.

Enquanto as investigações buscam determinar a origem do megavazamento, especialistas orientam os usuários a tomar medidas imediatas: verificar no site Have I Been Pwned se seus e-mails foram comprometidos, alterar senhas antigas, ativar autenticação em duas etapas, revisar permissões concedidas a aplicativos conectados e monitorar os dispositivos que acessam suas contas.