Quando é melhor encerrar uma conta vazada em vez de protegê-la?

Passamos nossos dias online, criando perfis e aceitando termos e condições sem prestar muita atenção às letras miúdas, e enquanto isso, deixamos um rastro de contas, dados pessoais e senhas espalhadas pela internet. Muitas dessas contas são esquecidas, outras acabam aparecendo em vazamentos massivos e, antes que percebamos, e-mails, endereços IP ou até mesmo dados bancários estão circulando sem controle. Quando uma conta vazada deve ser encerrada? Explicamos isso aqui.

Quando você descobre que uma conta foi comprometida ou suspeita que seus dados foram parar em um banco de dados vazado, surge a velha questão: basta trocar a senha ou é hora de fechar a conta vazada permanentemente? A resposta não é tão simples, pois depende de quais dados foram expostos, como você usa essa conta e se o serviço permite que você exclua suas informações.

Por que contas esquecidas são um problema sério

Ao longo dos anos, acumulamos perfis em redes sociais, fóruns, lojas online, serviços de streaming e diversos aplicativos dos quais já não nos lembramos, mas que continuam a armazenar informações. E-mails, endereços, números de telefone e dados bancários.O problema é que essas contas não desaparecem simplesmente e, em muitos casos, não estão tão bem protegidas quanto deveriam.

Uma conta de usuário não é apenas um nome e uma senha: geralmente inclui Dados de identificação pessoal, endereços físicos, data de nascimento, métodos de pagamento e até mesmo listas de contatos. Todo esse pacote é ouro puro para um cibercriminoso que queira se passar por você ou criar campanhas de golpes direcionadas.

Embora muitas empresas tenham aprimorado seus sistemas de segurança, estamos acostumados a ver notícias de tempos em tempos sobre... vazamentos envolvendo milhões de contas de todos os tipos de serviços. É por isso que os gerenciadores de senhas e ferramentas especializadas alertam você quando detectam que seu e-mail ou uma de suas senhas apareceu em uma violação de dados.

O grande problema é que, mesmo quando você para de usar um serviço, seus dados geralmente ficam armazenados por anos. Idealmente, Qualquer conta inativa será desativada ou excluída após um período razoável.Mas, na prática, isso raramente acontece. Existem exemplos como o Google ou a Microsoft, que desativam contas que estão inativas há dois anos, ou o Proton, que toma medidas após três meses, mas ainda assim são exceções.

Como os cibercriminosos usam seus dados vazados

Os atacantes não roubam dados por diversão: eles estão procurando maneiras de obter acesso a eles. ganho financeiro, roubo de identidade e exploração de seus relacionamentos pessoais.A partir de um único vazamento, eles podem lançar múltiplos ataques, mesmo contra contas que nunca foram diretamente comprometidas na violação inicial.

Com uma simples combinação de e-mail e senha vazada, eles tentarão a sorte em uma infinidade de serviços diferentes (bancos online, redes sociais, lojas, e-mail corporativo…), uma técnica conhecida como preenchimento de credenciaisSe você reutilizar senhas, estará abrindo brechas para acesso não autorizado em mais de um lugar sem perceber.

Além disso, com as listas de contatos extraídas de suas contas antigas, eles podem lançar campanhas massivas de Phishing e smishing muito convincentes.Eles podem estar se passando por você ou por uma empresa confiável. Seus amigos, clientes ou familiares podem receber e-mails ou mensagens de texto fraudulentas que parecem legítimas porque contêm informações reais.

Quando o vazamento atinge informações mais sensíveis, como documento de identidade, endereço postal ou dados financeirosO risco aumenta exponencialmente. Com essas informações, eles podem se cadastrar em serviços, abrir linhas telefônicas, tentar obter empréstimos ou fazer compras não autorizadas em seus cartões, complicando seriamente sua vida e forçando você a brigar com bancos e órgãos governamentais.

No caso das empresas, uma violação de segurança pode expor... Código-fonte, propriedade intelectual, listas de clientes ou credenciais internasIsso se traduz em espionagem, chantagem, sabotagem e, frequentemente, danos à reputação que são difíceis de reparar.

O que fazer ao descobrir que seus dados foram vazados

Descobrir que seu e-mail, senhas ou endereço IP apareceram em uma violação de dados é bastante angustiante, mas o importante é agir com rapidez e método, seguindo guias sobre O que fazer passo a passoVocê não pode excluir o banco de dados vazado, mas pode minimizar o impacto e dificultar futuros abusos.

O primeiro passo é identificar em qual serviço ocorreu o vazamento e Que tipo de informação foi comprometida?A conduta mais prudente é presumir que todos os dados que você forneceu àquela empresa podem ter sido comprometidos, mesmo que apenas parte deles tenha sido mencionada na reportagem.

Se as senhas foram vazadas, a medida imediata é altere-os no serviço afetado E em qualquer outra página onde você possa ter reutilizado essa mesma senha ou uma variação semelhante, faça isso o mais rápido possível, sem demora, pois os invasores costumam explorar vulnerabilidades muito rapidamente.

Aproveite esta oportunidade para rever a seção de segurança da conta e verificar logins recentes, dispositivos conectados e sessões abertasSe o serviço permitir, encerre todas as sessões ativas e faça login novamente apenas a partir de seus próprios dispositivos.

Se você tinha dados de pagamento salvos na conta comprometida (cartões, contas bancárias, PayPal ou outros meios digitais), precisa ficar atento. atividade bancária e transações com seu cartãoEmbora muitos serviços utilizem gateways de pagamento externos e tokenizados, nunca é demais verificar cobranças incomuns e, caso note algo suspeito, entrar em contato com seu banco para bloquear cartões ou contas.

Quando faz sentido encerrar uma conta filtrada?

A grande questão é: em que ponto alterar a senha e reforçar a segurança deixa de ser suficiente e passa a ser razoável? Encerre a conta afetada.Nem todas as situações são iguais, mas existem vários casos em que o encerramento é altamente recomendável.

Se for um serviço que você não usa mais, mas para o qual você forneceu anteriormente dados pessoais, informações de pagamento ou uma grande lista de contatos, a conduta mais sensata é... excluir a conta completamente desde que a plataforma o permita. Mantê-la aberta apenas prolonga o tempo em que os dados podem ficar expostos em novas violações.

Também é aconselhável considerar o encerramento quando um serviço tiver sofrido perdas. múltiplos incidentes de segurança E não demonstra nenhum sinal de ter aprendido com eles. Se a cada poucos meses surge um novo vazamento ou o suporte continua opaco sobre o que aconteceu, é sinal de que sua confiança está mal depositada.

Para contas particularmente sensíveis (e-mail principal, redes sociais usadas profissionalmente, internet banking, armazenamento em nuvem), talvez não seja possível fechá-las todas de uma vez, mas ainda assim você deve considerar essa possibilidade. Migre para um provedor diferente se o gerenciamento de filtragem tiver sido ruim.Às vezes, o esforço de trocar de serviço vale a pena em troca de maior tranquilidade a médio prazo.

Por fim, se uma conta é constantemente alvo de tentativas de acesso não autorizado, apesar de estar protegida com senhas fortes e autenticação em duas etapas, uma opção drástica é... Pare de usar esse endereço de e-mail como seu identificador principal. Crie um alias ou um novo e-mail para seus serviços mais importantes.

Como localizar e limpar contas antigas e inativas

Antes de decidir o que fechar, você precisa saber o que tem disponível. Para isso, seu melhor aliado é um gerenciador de senhas modernoSeja um aplicativo independente ou um integrado ao seu navegador ou sistema operacional, ele geralmente salva os acessos que você utilizou ao longo dos anos.

Muitos gestores incluem funções de auditoria que indicam Senhas reutilizadas, fracas ou expostasEssa lista é uma mina de ouro para encontrar serviços que você talvez não use mais ou que nem lembrava que existiam, e que agora valem a pena serem analisados ​​com atenção.

Se você nem sempre usou um gerenciador de senhas, outra tática é procurar na sua caixa de entrada principal de e-mails mensagens com assuntos como “Bem-vindo(a)”, “Verifique sua conta”, “Confirme seu cadastro” ou algo semelhante. Geralmente, são o rastro mais confiável de contas antigas que você criou e depois abandonou.

Uma vez identificadas, faça login em cada uma dessas contas e verifique se elas possuem a opção de Excluir ou desativar permanentemente o perfilSe eles oferecerem essa opção, use-a. Se permitirem apenas desativá-la temporariamente, avalie se vale a pena ou se prefere exercer seus direitos de proteção de dados (se aplicável).

Para serviços mais incomuns, você pode consultar diretórios como... ApenasMeApague, onde instruções detalhadas são compiladas em Como excluir contas em cada plataformaou se for simplesmente impossível fazê-lo pelo site sem abrir um chamado de suporte.

Analise os logins vinculados ao Google, Apple, Facebook e Microsoft.

Nos últimos anos, tornou-se popular o login com contas de grandes provedores (o típico botão "login"). “Continue com o Google, Apple, Facebook ou Microsoft”É conveniente, mas também significa que você acaba com dezenas de aplicativos e serviços conectados ao mesmo perfil.

• En GoogleNas configurações da sua conta, você encontrará uma seção chamada "Aplicativos e serviços de terceiros com acesso à sua conta". Lá, você verá todos os aplicativos da Web e para dispositivos móveis que você autorizou a usar seu perfil do Google e poderá revogar o acesso daqueles que não usa há anos.
• En ID AppleNo seu iPhone, iPad ou Mac, acesse Ajustes, depois seu perfil e procure a opção "Iniciar sessão com a Apple". Uma lista de serviços vinculados será exibida e você poderá remover aqueles que não precisa mais, reduzindo assim a quantidade de dados compartilhados com terceiros.
• En FacebookO caminho envolve acessar Configurações e privacidade > Configurações > “Apps e sites”, na seção Atividade e permissões. Você verá quais apps se conectam à sua conta do Facebook, se para fazer login ou compartilhar dados do perfil, e terá a opção de excluir qualquer integração que não seja mais necessária.
• En MicrosoftAtravés da sua conta online, você pode revisar os aplicativos e serviços que utilizam sua conta Microsoft como método de acesso e, caso não os tenha utilizado há muito tempo, editar as permissões ou desconectá-los completamente.

O que fazer quando um serviço não permite excluir sua conta?

Num mundo ideal, bastaria pressionar um botão para apagar todas as informações do sistema e dos backups. Na prática, muitos serviços criam obstáculos, ocultam a opção ou simplesmente a bloqueiam. Eles não oferecem apagamento real. da conta, apenas uma desativação superficial.

Se você não conseguir excluir seu perfil, a melhor opção seguinte é fazer login e Apague todas as informações confidenciais.Altere seu nome, endereço, número de telefone e quaisquer outras informações que possam identificá-lo(a) para informações falsas ou genéricas e exclua fotos, documentos e publicações que possam ligá-lo(a) a essa conta.

No caso de listas de contatos, calendários ou agendas internas, o mais prudente a fazer é Exclua esses contatos para que seus dados não sejam utilizados. Em futuras campanhas de phishing, você pode primeiro exportá-los para seu gerenciador de contatos atual para não perdê-los e, em seguida, excluí-los do serviço antigo.

É aconselhável também analisar cuidadosamente seções como Detalhes de pagamento, assinaturas ativas e endereços de entrega.Exclua os métodos de pagamento salvos, cancele as renovações automáticas e deixe o mínimo de rastros possível, principalmente se o site não inspirar muita confiança.

Além disso, altere sua senha para uma chave aleatória, muito longa e exclusiva, e habilite a autenticação multifator, se disponível. Mesmo que você nunca mais use a conta, isso garantirá sua segurança. protegido contra tentativas de acesso futuras.

Direito ao apagamento e RGPD: um benefício adicional para os residentes da UE

Se você reside em um país dentro do Espaço Econômico Europeu, RGPD Isso lhe concede direitos ampliados sobre seus dados, incluindo a direito ao apagamento ou “direito ao esquecimento”Isso significa que você pode exigir que um serviço exclua suas informações pessoais em determinadas circunstâncias.

Para exercer esse direito, normalmente você precisará consultar o política de privacidade do serviçoEles devem explicar como solicitar a exclusão de dados, incluindo qual endereço de e-mail ou formulário usar. Em muitos casos, você precisará enviar uma solicitação específica e, em alguns casos, comprovar sua residência na UE.

É importante não sobrescrever todos os dados da conta com informações fictícias antecipadamente, caso pretenda seguir este caminho, pois o fornecedor pode precisar delas. Verifique sua identidade real. para processar a exclusão corretamente.

Se a empresa ignorar sua solicitação ou se recusar a exercer seu direito sem justificativa, você pode entrar em contato com seu representante. Autoridade Nacional de Proteção de Dados (Na Espanha, a AEPD) e apresente uma reclamação. Dependendo do caso, você pode até ter direito a uma indenização.

No entanto, lembre-se de que existem situações em que a empresa é legalmente obrigada a reter certos dados, por exemplo, para fins fiscais ou contábeis. Nesses casos, a exclusão pode ser limitada às informações estritamente necessárias, enquanto o restante é bloqueado.

Como saber se seus e-mails ou contas foram vazados

Não existe um banco de dados universal onde você possa pesquisar todas as suas informações, mas existem ferramentas que permitem verificar se uma endereço de e-mail ou senha Alguns exemplos específicos surgiram em lacunas conhecidas.

Sites como Fui enganadoou os scanners de vulnerabilidades integrados nos próprios gerenciadores de senhas podem alertá-lo quando Seu endereço de e-mail aparece em coleções de dados filtrados.Algumas soluções comerciais também monitoram a presença de seus e-mails ou cartões de crédito na dark web.

Além dessas ferramentas, é fundamental estar atento a sinais de atividade incomumE-mails notificando logins de países incomuns, mensagens de redefinição de senha que você não solicitou, publicações estranhas em suas redes sociais ou assinaturas que você não se lembra de ter feito.

Em contas como Microsoft, Google ou Apple, você pode consultar os registros de atividades recentes para ver a partir de quais dispositivos e locais o acesso foi realizadoSe detectar algo que não reconhece, marque como atividade suspeita e siga o processo de proteção oferecido.

E, quando um grande fornecedor anunciar um vazamento de informações e você for cliente, mesmo que não receba um e-mail específico, aja como se tivesse recebido. probabilidade razoável de ser afetado e aplicar as medidas de segurança que discutimos.

Se você integrar uma série de rotinas à sua vida digital diária (revisar regularmente suas contas, usar senhas fortes, ativar fatores de segurança adicionais e excluir perfis que não usa mais), cada futura violação de segurança terá menos potencial para afetá-lo e será muito mais fácil para você tomar decisões. Quando é suficiente reforçar uma conta e quando vale a pena fechá-la permanentemente?.