Quando uma plataforma sofre um vazamento, sua senha pode estar circulando há meses sem você saber. Cibercriminosos compram bases vazadas no mercado underground e testam as mesmas credenciais em centenas de sites — é o ataque chamado credential stuffing. Se você reusa senhas, basta uma única exposição para que seu Gmail, Instagram, internet banking e contas de trabalho sejam acessados.
A boa notícia: existem três testes públicos, gratuitos e seguros que você pode rodar agora. Cada um leva menos de 20 segundos.
Teste 1 — Have I Been Pwned (o padrão da indústria)
Criado pelo pesquisador de segurança Troy Hunt, o site haveibeenpwned.com agrega bases públicas de vazamentos confirmados (LinkedIn, Adobe, MySpace, Collection #1, etc) e permite que você consulte por e-mail.
- Acesse
haveibeenpwned.com - Digite seu e-mail principal
- Em segundos, ele lista todos os vazamentos onde aquele e-mail aparece, com data e quais campos foram expostos (senha, telefone, nome, endereço)
O site não pede sua senha — só o e-mail. Para checar senhas específicas use a ferramenta separada "Pwned Passwords" do mesmo autor: ela usa hashing parcial (k-anonymity) para garantir que sua senha em texto puro nunca trafega na internet.
Como interpretar o resultado
Se aparecer "Oh no — pwned!", anote em quais sites o vazamento ocorreu. Em cada um deles você precisa trocar imediatamente a senha e habilitar autenticação de dois fatores. Se você reutilizou aquela senha em outros sites, troque em todos.
Teste 2 — Google Password Checkup
Se você usa o Chrome com sincronização ativa, o Google já testa periodicamente todas as suas senhas salvas contra a maior base de credenciais vazadas do mundo.
- Acesse
passwords.google.com/checkup - Faça login com sua conta Google
- O Checkup mostra: senhas vazadas em vazamentos conhecidos, senhas reutilizadas em mais de um site e senhas consideradas fracas
É talvez o teste mais completo para usuários casuais — porém depende de você confiar no Google guardar suas senhas. Se está usando um cofre dedicado como o Virtuault, esse teste serve só para descobrir o passivo histórico do Chrome.
Teste 3 — Mozilla Monitor
O monitor.mozilla.org usa a mesma base do Have I Been Pwned, mas adiciona monitoramento contínuo gratuito: você cadastra seus e-mails e recebe alerta sempre que aparecerem em um vazamento futuro.
Também oferece um plano pago que inclui remoção de dados pessoais de sites de "people search" — relevante apenas para usuários nos EUA por ora, mas o monitoramento básico funciona em qualquer lugar.
O que fazer no minuto seguinte (passo a passo)
Encontrou um vazamento que afeta você? Aja nesta ordem:
- Identifique a senha exata vazada (Have I Been Pwned mostra qual base; o Google Checkup mostra qual senha).
- Troque essa senha em TODOS os sites onde você a usou. Comece pelos críticos: e-mail principal, internet banking, redes sociais.
- Ative 2FA nas contas críticas — preferencialmente via app autenticador, não SMS (SIM swap é problema real no Brasil).
- Centralize em um cofre — sem isso, você vai cometer o mesmo erro de novo daqui a alguns meses.
Por que reutilizar senhas é o pior dos pecados
Cibercriminosos trabalham em escala. Quando um banco de dados de 10 milhões de usuários vaza, eles automatizam testes em centenas de outros sites. Se 5% dos usuários reusaram a mesma senha em outro lugar, são 500 mil contas comprometidas em outros serviços com zero esforço técnico.
É por isso que profissionais de segurança recomendam uma senha única, longa e aleatória por site. Como ninguém memoriza 200 senhas dessas, a única solução prática é um cofre de senhas com gerador integrado.
O Virtuault detecta vazamentos automaticamente?
A funcionalidade está no roadmap. Hoje, o Virtuault foca em prevenir o problema: gera senhas aleatórias de 32 caracteres no próprio navegador, criptografa cada credencial com AES-256-GCM antes de subir e nunca guarda sua chave mestra. Em pouco tempo o cofre terá auditoria HIBP nativa.
Enquanto isso, rode os 3 testes acima a cada 3 meses. É grátis e leva 1 minuto.
Pare de reutilizar senhas hoje
Crie uma conta gratuita no Virtuault, importe suas senhas em 30 segundos e deixe o gerador trocar as fracas por senhas únicas. Criar conta grátis →
Perguntas frequentes
É seguro digitar minha senha em sites como Have I Been Pwned?
O HIBP usa k-anonymity: ele recebe apenas os 5 primeiros caracteres do hash SHA-1 da sua senha e devolve uma lista de hashes que começam com esses 5 caracteres. Seu navegador faz a comparação local. A senha completa nunca trafega.
Por que minha senha aparece como vazada se eu nunca usei naquele site?
Provavelmente porque você reutilizou em outro lugar e aquele outro lugar foi vazado. Ou porque um serviço onde você se cadastrou usou a mesma base. Em todo caso, considere a senha queimada e troque imediatamente.
O que é credential stuffing?
É o ataque automatizado em que criminosos pegam pares e-mail+senha vazados e testam em centenas de outros sites, contando que vítimas reusam senhas. Vai contornar firewalls, antifraude e até 2FA por SMS — só não funciona contra senha única + autenticador TOTP.