Controvérsia sobre o alerta de segurança do Gmail: o que realmente aconteceu?
Praticamente todos os grandes meios de comunicação de tecnologia (e não só de tecnologia, diga-se) noticiaram recentemente um aviso de segurança que foi enviado — ou não — a alguns mil milhões de utilizadores do Gmail, instando-os a alterar as suas palavras-passe. Resumindo, houve de facto uma violação, e a Google reconheceu-a, mas a empresa afirma que os malfeitores obtiveram apenas alguns dados de contacto profissionais e nomes, não credenciais do Gmail. Isto, porém, não significa que não deva mudar a palavra-passe do seu Gmail: é algo que convém fazer regularmente, por precaução, tenha ou não a autenticação de dois fatores (2FA) ativada.
Quer a história completa? Continue a ler.
A violação real que desencadeou as notícias sobre o alerta de palavra-passe do Gmail
No início de 2025, um grupo de hackers conhecido como ShinyHunters invadiu uma das bases de dados da Google no Salesforce e roubou informações sobre um número não divulgado (pelo menos não encontrámos essa cifra) de utilizadores. As informações, como referido acima, eram dados de contacto profissionais e nomes.
A Google reconheceu a violação, especificando que ocorreu através de uma extensão do Salesforce. No início de agosto de 2025, a empresa concluiu a notificação dos afetados.
Parece, porém, que os media interpretaram mal a situação: circularam notícias que associavam o referido incidente a um alegado alerta em massa da Google que instava os utilizadores do Gmail — todos os mais de 2,5 mil milhões — a alterar as suas palavras-passe.
As notícias tornaram-se virais e forçaram a empresa a reagir: em 1.º de setembro de 2025, a Google publicou um artigo intitulado “As proteções do Gmail são fortes e eficazes, e as alegações de um grande alerta de segurança do Gmail são falsas” no seu blog do Workspace. No texto, a gigante refuta ter enviado o alerta, qualificando as respetivas alegações de imprecisas. Além disso, a Google insiste que as suas “proteções continuam a bloquear mais de 99,9% das tentativas de phishing e malware de chegarem aos utilizadores.”
Como se proteger de phishing e vishing?
Já abordámos estes tipos de ataque em “Engenharia social no hacking: métodos comuns e proteções”; leia esse artigo se o perdeu, há informações valiosas lá. Para recapitular parte disso, aqui estão as medidas de bom senso para se proteger de tais tentativas maliciosas.
Confie, mas verifique; melhor ainda, não confie. Se um e-mail for minimamente suspeito — um anúncio não solicitado ou alguma sugestão inesperada de alguém que conhece já é motivo de suspeita — não clique em links nele.
Ative a autenticação de dois fatores sempre que possível e opte por apps de autenticação em vez de SMS. Considere migrar para chaves de acesso, vai acontecer mais cedo ou mais tarde, de qualquer forma.
Utilize gestores de palavras-passe, configure bem o seu firewall, considere subscrever uma VPN e estabeleça uma rotina de cópias de segurança — de modo geral, siga os conselhos que demos em “Cibersegurança para as massas: boas práticas e ferramentas”.
Mantenha-se em segurança!
