Quando os dados ressurgem, nunca voltam mais fracos. Um conjunto de dados recém-partilhado ligado à AT&T mostra o quanto uma violação «antiga» pode se tornar mais perigosa quando os criminosos têm detalhes suficientes para trabalhar.
O conjunto de dados, que circula em privado desde 2 de fevereiro de 2026, é descrito como dados de clientes da AT&T provavelmente recolhidos ao longo dos anos. Não contém apenas alguns fragmentos de informações de contacto. Segundo consta, inclui cerca de 176 milhões de registos, com...
- Até 148 milhões de números de Segurança Social (SSNs completos e últimos quatro dígitos)
- Mais de 133 milhões de nomes completos e endereços
- Mais de 132 milhões de números de telefone.
- Datas de nascimento de cerca de 75 milhões de pessoas
- Mais de 131 milhões de endereços de e-mail
Em conjunto, esse é o tipo de conjunto de dados rico e estruturado que facilita muito a vida de um criminoso.
Por si só, qualquer um desses dados seria inconveniente, mas administrável. Um endereço de e-mail alimenta spam e phishing básico. Um número de telefone permite smishing e chamadas automáticas. Um endereço ajuda os invasores a adivinhar quais serviços você pode usar. Mas quando os invasores podem procurar uma única pessoa e ver o nome, endereço completo, telefone, e-mail, número de segurança social completo ou parcial e data de nascimento em um só lugar, o risco passa de "irritante" para de alto impacto.
Essa combinação é exatamente o que muitas instituições financeiras e operadoras de telemóveis ainda utilizam para verificações de identidade. Para os cibercriminosos, esse tipo de conjunto de dados é uma faca suíça.
Pode ser usado para criar e-mails e mensagens de texto convincentes com o tema AT&T, completos com nomes corretos e números de segurança social parciais para «provar» a legitimidade. Pode alimentar tentativas de troca de SIM em grande escala e invasões de contas, nas quais os criminosos ligam para operadoras e bancos fingindo ser você, munidos das respostas que os call centers esperam ouvir. Também pode permitir o roubo de identidade a longo prazo, com números de segurança social e datas de nascimento usados indevidamente para abrir novas linhas de crédito ou apresentar declarações fiscais fraudulentas.
O mais preocupante é que nem sempre é necessário um novo ataque para chegar a este ponto. Os dados roubados tendem a permanecer, depois são combinados, limpos e expandidos ao longo do tempo. O que é diferente neste caso é a amplitude e a qualidade dos perfis. Eles incluem mais endereços de e-mail, mais números de segurança social e registos mais completos por pessoa. Isso torna os dados mais atraentes, mais pesquisáveis e mais úteis para os criminosos.
Para as vítimas em potencial, a lição é simples, mas importante. Se já foi cliente da AT&T, considere isto como um lembrete de que os seus dados podem já estar a circular de uma forma que é genuinamente útil para os atacantes. Tenha cuidado com qualquer e-mail ou mensagem de texto relacionado à AT&T, habilite a autenticação multifatorial sempre que possível, bloqueie a sua conta móvel com senhas extras e considere monitorar o seu crédito. Não é possível recuperar os seus dados de um conjunto de dados criminosos, mas pode garantir que seja muito mais difícil usá-los contra si.
O que fazer quando os seus dados estão envolvidos numa violação
Se acha que foiafetado por uma violação de dados, eis algumas medidas que pode tomar para se proteger:
- Verifique as orientações da empresa.Cada violação é diferente, portanto, verifique com a empresa para saber o que aconteceu e siga todas as orientações específicas que ela oferecer.
- Altere a sua palavra-passe. Pode tornar uma palavra-passe roubada inútil para os ladrões alterando-a. Escolha uma palavra-passe forte que não utilize para mais nada. Melhor ainda, deixe que um gestor de senhas escolha uma para si.
- Ativea autenticação de dois fatores (2FA).Se possível, use uma chave de hardware, laptop ou telefone compatível com FIDO2 como seu segundo fator. Algumas formas de 2FA podem ser alvo de phishing tão facilmente quanto uma palavra-passe, mas a 2FA que depende de um dispositivo FIDO2 não pode ser alvo de phishing.
- Cuidado com os impostores.Os ladrões podem entrar em contacto consigo fingindo ser a plataforma invadida. Verifique o site oficial para ver se está a entrar em contacto com as vítimas e verifique a identidade de qualquer pessoa que entre em contacto consigo usando um canal de comunicação diferente.
- Não tenha pressa. Os ataques de phishing fazem-se frequentemente passar por pessoas ou marcas que conhece e utilizam temas que requerem atenção urgente, como entregas não efectuadas, suspensões de contas e alertas de segurança.
- Considere não guardar os dados do seu cartão. É definitivamente mais conveniente permitir que os sites guardem os dados do seu cartão, mas isso aumenta o risco caso um retalhista sofra uma violação de segurança.
- Configureo monitoramento de identidade, que alerta seassuasinformações pessoaisforem encontradas sendo comercializadas ilegalmente online e ajuda na recuperação após o ocorrido.
Use a verificação gratuita Digital Footprint Malwarebytespara ver se as suas informações pessoais foram expostas online.
Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.
Os riscos de cibersegurança nunca devem ir além das manchetes. Proteja as suas informações pessoais e as da sua família usando proteção de identidade.
