Legisladores estaduais são figuras públicas de alta visibilidade nos EUA, responsáveis por elaborar orçamentos estaduais de bilhões de dólares, lidar com informações privilegiadas e se comunicar com eleitores.

Segundo uma nova investigação da Proton, seus endereços de e-mail e senhas também estão bastante expostos.

Investigamos as práticas de cibersegurança de políticos em todo o mundo há mais de um ano. Nossa rodada mais recente de pesquisa constatou que 67% dos legisladores estaduais dos EUA foram afetados por violações de dados ligadas a seus endereços de e-mail divulgados publicamente pelo menos uma vez.

Veja se autoridades do seu governo têm dados na dark web

Identificamos mais de 16.000 registros de violação associados a endereços de e-mail divulgados publicamente em 49 estados. Mais de 12.000 casos envolviam informações de identificação pessoal (PII), que podem ser usadas para identificar, vigiar e aplicar golpes de phishing contra indivíduos. Agravando esses riscos, há o fato de que 560 senhas foram descobertas em texto simples: com uma senha em texto simples, hackers podem acessar contas pessoais de legisladores e potencialmente abrir caminho até contas governamentais oficiais.

Nenhuma informação identificadora é compartilhada em nossa reportagem, e notificamos todos os políticos afetados.

As exposições decorrem de erro humano, não de ataques externos

Em vez de ataques direcionados de países em conflito com os Estados Unidos, essas exposições decorrem do uso, por parte dos legisladores, de seus e-mails oficiais do governo para criar conta em serviços como LinkedIn, Adobe e Dropbox. Esses serviços de terceiros foram afetados por violações de dados, o que levou à exposição de autoridades do governo.

Infelizmente, essa diluição das fronteiras entre contas pessoais e empresariais é comum nos ambientes de trabalho modernos. Isso pode ter sérias implicações para empresas de qualquer tamanho e setor, mas políticos com acesso a serviços e dados governamentais sensíveis têm um modelo de ameaça muito maior do que o de um cidadão comum.

“Os dados mostram que isso tem menos a ver com incidentes isolados e mais com a forma como o risco digital se acumula ao longo do tempo”, disse Eamonn Maguire, chefe de segurança de contas da Proton. “Até mesmo o uso normal e cotidiano de serviços on-line pode criar uma exposição de longo prazo. Quando endereços de e-mail oficiais estão envolvidos, esse risco se estende além do indivíduo para as instituições que ele representa.”

A Estratégia Cibernética para a América(nova janela) do presidente Trump, divulgada em março de 2026, observa que o governo dos EUA “agirá com rapidez, de forma deliberada e proativa para desativar ameaças cibernéticas à América”. Parece que esse esforço pode estar sendo prejudicado pelos próprios legisladores, que estão se deixando vulneráveis a ciberataques.

O comportamento on-line varia entre os estados

Parece que as práticas de segurança on-line não são consistentes entre governos de diferentes estados. Nossa investigação revelou uma ampla variedade de comportamentos em 49 estados:

  • 100% dos legisladores do Arizona e de Oklahoma apareceram em conjuntos de dados de violações pelo menos uma vez
  • Massachusetts registrou o maior total de violações (816), afetando 84% das autoridades
  • New Hampshire teve o maior número de senhas vazadas (81)
  • Maryland foi o único estado sem violações registradas
  • Apenas quatro estados tiveram menos de 50% de exposição: Flórida, Kentucky, Maryland e New Hampshire

O fato de 100% dos legisladores de dois estados terem aparecido em bases de dados de violações pelo menos uma vez é profundamente preocupante. Se qualquer legislador em todo um estado tiver sido comprometido em uma violação de dados, isso pode ter sérias ramificações para os cidadãos e sua infraestrutura pública. O governo dos EUA é regularmente alvo de ataques lançados pelo Serviço de Inteligência Estrangeira da Rússia(nova janela) (SVR) e pelo governo chinês(nova janela). O Departamento de Estado lançou uma nova entidade (nova janela)para identificar e responder a ameaças lançadas pelo Irã, pela China, pela Rússia, pela Coreia do Norte e por organizações terroristas estrangeiras.

Se os padrões de cibersegurança não estiverem sendo aplicados adequadamente em todo o governo dos EUA, os cidadãos do país acabam sendo injustamente afetados pelo comportamento de seus legisladores. Ninguém deveria ficar mais vulnerável às consequências de um ciberataque que pode privar pessoas de serviços governamentais essenciais simplesmente por causa de onde mora. Os legisladores de Maryland, o único estado sem violações registradas, podem estar na melhor posição para defender padrões mais altos dentro do governo.

Enfrentando ameaças modernas com segurança on-line moderna

Ter mais cuidado on-line não é só para pessoas politicamente expostas. Qualquer pessoa pode ser afetada por uma violação de dados, e uma violação de dados pode ter consequências desastrosas, não importa quem você seja. O segredo é antecipar violações e planejar de acordo, começando pelo seu endereço de e-mail.

Um endereço de e-mail é, essencialmente, um passaporte on-line. Ele está ligado a tudo o que você faz on-line, como suas contas on-line, seu histórico de compras, seu endereço, seu documento de identidade oficial e muito mais. Usando seu endereço de e-mail, é fácil identificar você e fazer de você alvo de golpes de phishing que podem fazer com que você sofra perdas financeiras e fraude de identidade. Seus dados também podem ser vendidos com lucro para corretores de dados, fazendo com que ainda mais cibercriminosos tenham acesso a eles.

Em vez de se desconectar totalmente, o que não é uma solução viável no mundo de hoje, você pode optar por proteger suas informações pessoais e limitar os lugares onde as fornece.

  • Aliases de e-mail ocultam seu endereço de e-mail pessoal, permitindo que você crie contas e até envie ou receba e-mails sem revelar nenhuma informação pessoal. Se um alias de e-mail aparecer em uma violação de dados, ele não está conectado a você, então não pode ser usado para obter mais dados sobre você. Ele pode simplesmente ser desativado, sem causar dano algum. Aliases de e-mail são uma excelente solução para quem quer proteger seus endereços de e-mail, então os legisladores estaduais dos EUA poderiam se beneficiar ao considerá-los.
  • Gerenciadores de senhas são uma solução ideal para a criação, o armazenamento e o preenchimento automático de senhas. Um gerenciador de senhas criptografado de ponta a ponta garante que seus dados pessoais não possam ser acessados por ninguém além de você, nem mesmo pelo provedor do seu gerenciador de senhas. Também é possível compartilhar credenciais com segurança, se você precisar, eliminando práticas inseguras de compartilhamento que aumentam o risco.
  • Monitoramento da Dark Web alerta você automaticamente se suas informações pessoais aparecerem na dark web e também pode identificar pontos fracos em contas, como autenticação de dois fatores (A2F) inativa e senhas fracas ou reutilizadas.

Todos esses serviços e muito mais estão disponíveis com o Proton Pass. Criado pela equipe por trás de um ecossistema que prioriza a privacidade, incluindo Proton Mail e Proton VPN, o Proton Pass é um gerenciador de senhas seguro, adequado para qualquer nível de experiência com tecnologia e qualquer necessidade de segurança.

Se você é cidadão ou legislador, considere criar uma conta no Proton Pass Plus.