Os legisladores estaduais são figuras públicas altamente visíveis nos EUA, responsáveis por elaborar orçamentos estaduais de vários milhares de milhões de dólares, lidar com informação privilegiada e comunicar com os seus eleitores.

Segundo uma nova investigação da Proton, os seus endereços de e-mail e palavras-passe também estão muito expostos.

Há mais de um ano que investigamos as práticas de cibersegurança de políticos em todo o mundo. A nossa ronda mais recente de investigação concluiu que 67 % dos legisladores estaduais dos EUA foram afetados, pelo menos uma vez, por incidentes associados aos seus endereços de e-mail divulgados publicamente.

Veja se os seus responsáveis governamentais têm dados na dark web

Identificámos mais de 16 000 registos de incidentes associados a endereços de e-mail publicamente listados em 49 estados. Mais de 12 000 casos envolviam informações de identificação pessoal (PII), que podem ser usadas para identificar, vigiar e lançar esquemas de phishing contra indivíduos. A agravar estes riscos está o facto de terem sido descobertas 560 palavras-passe em texto simples: com uma palavra-passe em texto simples, os hackers podem aceder a contas pessoais pertencentes a legisladores e potencialmente chegar a contas governamentais oficiais.

Não é partilhada qualquer informação identificativa na nossa reportagem e notificámos todos os políticos afetados.

As exposições resultam de erro humano, não de ataques externos

Em vez de ataques direcionados de países em conflito com os Estados Unidos, estas exposições resultam do uso, por parte dos legisladores, dos seus e-mails oficiais do governo para se registarem em serviços como o LinkedIn, a Adobe e a Dropbox. Estes serviços de terceiros foram afetados por incidentes de dados, o que levou à exposição de responsáveis governamentais.

Infelizmente, este esbatimento de fronteiras entre contas pessoais e profissionais é comum nos locais de trabalho modernos. Pode ter ramificações sérias para empresas de qualquer tamanho e em qualquer setor, mas os políticos com acesso a serviços e dados governamentais sensíveis têm um modelo de ameaça muito mais elevado do que um cidadão médio.

“Os dados mostram que isto tem menos a ver com incidentes isolados e mais com a forma como o risco digital se acumula ao longo do tempo”, afirmou Eamonn Maguire, responsável pela segurança de contas na Proton. “Mesmo uma utilização normal e quotidiana de serviços online pode criar exposição a longo prazo. Quando estão envolvidos endereços de e-mail oficiais, esse risco estende-se do indivíduo às instituições que representam.”

A Cyber Strategy for America(nova janela) do Presidente Trump, divulgada em março de 2026, observa que o governo dos EUA “agirá rápida, deliberada e proativamente para desativar ameaças cibernéticas à América”. Parece que esse esforço poderá estar a ser minado pelos próprios legisladores, que se estão a deixar vulneráveis a ciberataques.

O comportamento online varia entre estados

Parece que as práticas de segurança online não são consistentes entre governos de diferentes estados. A nossa investigação revelou uma grande variedade de comportamentos em 49 estados:

  • 100 % dos legisladores do Arizona e de Oklahoma apareceram em conjuntos de dados de incidentes pelo menos uma vez
  • Massachusetts registou o maior total de incidentes (816), afetando 84 % dos responsáveis
  • New Hampshire teve o maior número de palavras-passe expostas em fugas (81)
  • Maryland foi o único estado sem incidentes registados
  • Apenas quatro estados tiveram uma exposição inferior a 50%: Flórida, Kentucky, Maryland e New Hampshire

O facto de 100% dos legisladores de dois estados constarem em bases de dados de incidentes pelo menos uma vez é profundamente preocupante. Se algum legislador de um estado inteiro ficou vulnerável num incidente de dados, isto pode ter sérias ramificações para os cidadãos e para as suas infraestruturas públicas. O governo dos EUA é regularmente visado em ataques lançados pelo Serviço de Informações Externas da Rússia(nova janela) (SVR) e pelo governo chinês(nova janela). O Departamento de Estado lançou uma nova entidade (nova janela)para identificar e responder a ameaças lançadas pelo Irão, China, Rússia, Coreia do Norte e organizações terroristas estrangeiras.

Se as normas de cibersegurança não estiverem a ser aplicadas adequadamente em todo o governo dos EUA, os cidadãos dos EUA acabam por ser injustamente afetados pelo comportamento dos seus legisladores. Ninguém deveria estar mais vulnerável às consequências de um ciberataque que lhe pudesse recusar serviços governamentais essenciais simplesmente por viver num determinado estado. Os legisladores de Maryland, o único estado sem incidentes registados, poderão estar em melhor posição para defender normas mais elevadas dentro do governo.

Enfrentar ameaças modernas com segurança online moderna

Ter mais cuidado online não é apenas para pessoas politicamente expostas. Qualquer pessoa pode ser afetada por um incidente de dados, e um incidente de dados pode ter consequências desastrosas, independentemente de quem seja. A chave está em antecipar incidentes e planear em conformidade, começando pelo seu endereço de e-mail.

Um endereço de e-mail é, na prática, um passaporte online. Está ligado a tudo o que faz online, como as suas contas online, o seu histórico de compras, o seu endereço, o seu documento de identificação oficial e muito mais. Com o seu endereço de e-mail, é fácil identificá-lo e visá-lo com fraudes de phishing que podem resultar em perdas financeiras e fraude de identidade. Os seus dados também podem ser vendidos com lucro a intermediários de dados, levando a que ainda mais cibercriminosos consigam aceder-lhes.

Em vez de se desligar totalmente do mundo digital, o que não é uma solução viável no mundo atual, pode optar por proteger as suas informações pessoais e limitar os locais onde as divulga.

  • Aliases de e-mail ocultam o seu endereço de e-mail pessoal, permitindo-lhe criar contas e até enviar ou receber e-mails sem divulgar qualquer informação pessoal. Se um alias de e-mail aparecer num incidente de dados, não está ligado a si, pelo que não pode ser usado para obter mais dados sobre si. Pode simplesmente ser desativado, sem lhe causar qualquer dano. Os aliases de e-mail são uma excelente solução para quem procura proteger os seus endereços de e-mail, pelo que os legisladores estaduais dos EUA poderiam beneficiar ao considerá-los.
  • Gestores de palavras-passe são uma solução ideal para criar, armazenar e fazer o preenchimento automático de palavras-passe. Um gestor de palavras-passe encriptado de ponto a ponto garante que os seus dados pessoais não podem ser acedidos por ninguém além de si, nem sequer pelo fornecedor do seu gestor de palavras-passe. Também é possível partilhar credenciais de forma segura, se precisar, eliminando práticas de partilha inseguras que aumentam o risco.
  • Monitorização da Dark Web alerta-o automaticamente se as suas informações pessoais aparecerem na dark web, e também pode identificar fragilidades da conta, como autenticação de dois fatores (2FA) inativa e palavras-passe fracas ou reutilizadas.

Todos estes serviços e muito mais estão disponíveis com o Proton Pass. Concebido pela equipa por detrás de um ecossistema centrado na privacidade que inclui o Proton Mail e o Proton VPN, o Proton Pass é um gestor de palavras-passe seguro adequado a qualquer nível de experiência tecnológica e a qualquer requisito de segurança.

Quer seja cidadão ou legislador, considere registar-se para obter uma conta Proton Pass Plus.