16 Mil Milhões de Passwords Expostas: Como Proteger os Seus Dados em Portugal

Analista de cibersegurança a monitorizar alertas de violação de dados em Lisboaa

Créditos de fotografia

João João SantosInformática
5 min de leitura 7 de maio de 2026

16 Mil Milhões de Passwords Expostas: Como Proteger os Seus Dados em Portugal

Uma das maiores fugas de dados da história da internet afetou Portugal em 2026. Mais de 16 mil milhões de passwords foram expostas em 30 bases de dados distintas — e a parte portuguesa do problema inclui cerca de 3,5 mil milhões de credenciais comprometidas. Nomes de utilizador, palavras-passe, cookies, tokens de sessão e dados pessoais de plataformas como Google, Apple, Facebook, Amazon, Telegram, Netflix, Microsoft e PayPal estão entre os dados expostos.

Em paralelo, a Polícia Judiciária participou, a 3 e 4 de março de 2026, na operação europeia "LeakBase" coordenada pela Europol, que desmantelou um dos maiores fóruns de cibercrime do mundo. Dois suspeitos foram detidos em Portugal no âmbito desta operação. A escala destes acontecimentos torna urgente uma questão: o que devem fazer os cidadãos e as empresas portuguesas para se protegerem?

O que foi comprometido e o que isso significa para si

A magnitude desta fuga de dados é sem precedentes. Não se trata de uma violação de um único serviço, mas de uma compilação massiva de dados recolhidos ao longo de vários anos e de múltiplas violações de segurança, agora disponíveis num único repositório acessível a cibercriminosos.

O tipo de dados expostos inclui:

  • Credenciais de acesso: emails e passwords de contas em serviços do dia a dia
  • Cookies e tokens de sessão: permitem acesso a contas sem necessidade de password, tornando-se particularmente perigosos
  • Dados de identidade: nomes, moradas, números de telefone associados a contas de serviços como CTT-Correios de Portugal, que sofreu uma violação separada afetando cerca de 1 milhão de registos de clientes

A existência de cookies e tokens comprometidos é especialmente preocupante porque pode contornar sistemas de autenticação de dois fatores — uma camada de segurança que muitos utilizadores consideram suficiente.

As ações imediatas recomendadas por especialistas em cibersegurança

Perante uma violação desta dimensão, os especialistas em informática e cibersegurança recomendam um conjunto de ações prioritárias:

1. Verifique se os seus dados foram comprometidos

Utilize ferramentas gratuitas como o serviço "Have I Been Pwned" (haveibeenpwned.com) para verificar se o seu endereço de email aparece em bases de dados de violações conhecidas. Este serviço é mantido por investigadores de segurança reconhecidos e é considerado fiável.

2. Altere imediatamente as passwords de contas críticas

Comece pelas contas mais sensíveis: email principal, serviços bancários e financeiros, redes sociais e qualquer serviço onde tenha informação pessoal ou financeira armazenada. Uma password segura deve ter, no mínimo, 16 caracteres e combinar letras maiúsculas e minúsculas, números e símbolos.

3. Nunca repita passwords entre serviços diferentes

A maioria dos ataques explora o facto de os utilizadores usarem a mesma password em múltiplos serviços. Quando uma é comprometida, todas ficam em risco. Um gestor de passwords (como Bitwarden, 1Password ou KeePass) elimina a necessidade de memorizar dezenas de passwords diferentes.

4. Ative a autenticação de dois fatores em todos os serviços que o permitam

Embora os tokens de sessão comprometidos possam contornar esta proteção em casos específicos, a autenticação de dois fatores continua a ser uma barreira eficaz contra a grande maioria dos ataques. Prefira aplicações de autenticação (como Google Authenticator ou Authy) em detrimento do SMS, que é mais vulnerável.

5. Feche sessões ativas em todos os dispositivos

Muitos serviços permitem verificar e encerrar todas as sessões ativas. Dada a exposição de cookies e tokens, este passo é crítico para invalidar acessos não autorizados que possam já estar a decorrer.

O papel das empresas e as obrigações legais em Portugal

Para as empresas, a situação é ainda mais complexa. O Regulamento Geral sobre a Proteção de Dados (RGPD) impõe obrigações rigorosas em caso de violação de dados: a notificação à Comissão Nacional de Proteção de Dados (CNPD) deve ser feita no prazo de 72 horas após o conhecimento da violação, e os titulares dos dados afetados devem ser informados quando o risco para os seus direitos e liberdades for elevado.

O incumprimento destas obrigações pode resultar em coimas que chegam a 20 milhões de euros ou 4% do volume de negócios global anual da empresa, conforme o valor mais elevado. Nos primeiros meses de 2026, a CNPD intensificou a fiscalização das entidades portuguesas no cumprimento das normas de proteção de dados.

Um especialista em informática e cibersegurança pode ajudar as empresas a:

  • Implementar sistemas de monitorização e deteção de intrusões
  • Realizar auditorias de segurança regulares
  • Desenvolver planos de resposta a incidentes
  • Formar colaboradores para reconhecer ataques de phishing e engenharia social
  • Assegurar o cumprimento das obrigações legais do RGPD

A operação LeakBase e o esforço de cooperação europeia

A desmantelação do fórum LeakBase em março de 2026 representa uma vitória significativa das autoridades europeias no combate ao cibercrime. O fórum funcionava como um mercado negro de dados pessoais e ferramentas de ataque, sendo utilizado por criminosos de todo o mundo.

A participação da Polícia Judiciária portuguesa nesta operação coordenada pela Europol demonstra o alinhamento de Portugal com os esforços europeus de cibersegurança. No entanto, o desmantelamento de um fórum não elimina os dados já expostos — estes permanecem em circulação e representam um risco contínuo.

Quando consultar um especialista em cibersegurança

A escala desta violação torna aconselhável a consulta de um profissional de informática em múltiplos cenários:

  • Se a sua empresa processa dados pessoais de clientes e não tem um plano de resposta a incidentes
  • Se suspeita que a sua conta empresarial foi comprometida
  • Se pretende implementar uma política de segurança robusta para a sua organização
  • Se recebeu notificações de tentativas de acesso não autorizado às suas contas

A cibersegurança deixou de ser uma preocupação exclusiva das grandes empresas. Qualquer utilizador, pequeno negócio ou profissional liberal que armazene dados pessoais de terceiros tem responsabilidades legais e práticas que merecem atenção especializada.

Este artigo tem carácter informativo. Para aconselhamento técnico personalizado, consulte um especialista em cibersegurança.

Para mais informações sobre os seus direitos em caso de violação de dados pessoais, consulte o portal oficial da Comissão Nacional de Proteção de Dados.

Créditos de fotografia : Esta imagem foi gerada por inteligência artificial.

Os nossos especialistas

Vantagens

Respostas rápidas e precisas para todas as suas questões e pedidos de assistência em mais de 200 categorias.

Milhares de utilizadores obtiveram uma satisfação de 4,9 em 5 para os conselhos e recomendações fornecidas pelos nossos assistentes.

Expert Zoom

Como funciona?Quem são os nossos especialistas?RevistaNotícias

Negócios

Ferramentas práticas

Contacte-nos

Email
Siga-nos
Política de privacidadeTermos de utilização