password-security-guideINFO

As Ligacoes Russas do Passwork: O Que a Investigacao Revelou, e Como Escolher um Gestor de Palavras-passe em Que Pode Confiar

Uma investigacao da OCCRP concluiu que o Passwork, um gestor de palavras-passe divulgado como europeu, tem origens russas e ligacoes em curso, incluindo uma empresa irma certificada pelo FSB. O que foi relatado, e a lista de verificacao de confianca para escolher um gestor de palavras-passe.

Por Eric Gerard · Editor · PwdFortress4 min de leituraPhoto: Pexels

O seu gestor de palavras-passe e a aplicacao mais sensivel que possui - guarda as chaves de tudo o resto. Por isso, uma investigacao de julho de 2026 ao Passwork, um gestor divulgado como europeu mas que, segundo os relatos, tem profundas ligacoes russas, merece ser compreendida com calma. Eis o que as reportagens realmente dizem e, mais util ainda, a lista de verificacao que apontam para escolher um gestor de palavras-passe em que possa genuinamente confiar.

O que a investigacao revelou

Segundo uma investigacao da OCCRP (Organized Crime and Corruption Reporting Project), com reportagens corroborantes do Irish Times, do DutchNews, do NL Times e da Cybernews, o Passwork apresenta-se como um produto europeu (sediado em Espanha, em passwork.pro) mas tem origens russas que nao estavam em evidencia para os seus utilizadores.

Os pontos-chave das reportagens:

  • O software remonta a Arkhangelsk, na Russia, onde o site em lingua russa passwork.ru foi registado pela primeira vez em 2014.
  • Uma empresa irma russa esta certificada pelo servico de seguranca FSB - uma certificacao que, segundo as reportagens, exige que o codigo-fonte seja revisto por auditores aprovados pelo Estado.
  • Foi relatado que os produtos europeu (passwork.pro) e russo (passwork.ru) lancaram a mesma atualizacao 7.6 com um dia de diferenca, o que indica uma base de codigo partilhada.
  • A estrutura societaria abrange varias jurisdicoes, e o produto tem sido usado por organismos governamentais e universidades europeias, incluindo organismos estatais irlandeses e empresas neerlandesas.

Para ser preciso e justo: as reportagens nao alegam a existencia de uma backdoor provada. A questao que levantam e de confianca, transparencia e jurisdicao.

Porque a confianca num gestor de palavras-passe importa tanto

A maioria das falhas de software esta contida. Um gestor de palavras-passe e diferente, porque guarda todas as credenciais que tem. Se a empresa por tras dele tem ligacoes nao divulgadas a um servico de seguranca estatal - que revê o seu codigo - entao a questao nao e apenas "ha um bug?" mas "quem tem, em ultima instancia, poder sobre a coisa que protege todas as minhas contas?" E por isso que os especialistas citados na investigacao o enquadram como um risco ao nivel do Estado, e por isso que a transparencia sobre a propriedade e a jurisdicao nao e um extra desejavel para esta categoria. E o cerne da questao.

Uma mao a segurar um cadeado de latao. Um gestor de palavras-passe guarda todas as credenciais que tem, o que torna a questao de em quem confia para o construir a mais importante.
Uma mao a segurar um cadeado de latao. Um gestor de palavras-passe guarda todas as credenciais que tem, o que torna a questao de em quem confia para o construir a mais importante.

Como escolher um gestor de palavras-passe em que possa confiar

Esta e a conclusao pratica, e aplica-se muito para alem de um so produto. Quando escolhe um gestor de palavras-passe, procure quatro coisas:

  • Propriedade e jurisdicao transparentes. Deve conseguir descobrir quem gere a empresa e sob que leis opera, sem precisar de uma investigacao.
  • Codigo open-source mais auditorias independentes recentes. O codigo aberto permite que revisores independentes verifiquem as afirmacoes; as auditorias de terceiros confirmam que a seguranca se aguenta. Juntos, transformam "confie em nos" em "verifique voce mesmo".
  • Encriptacao end-to-end, zero-knowledge. O seu cofre deve ser encriptado com uma chave derivada da sua palavra-passe no seu dispositivo, para que o proprio fornecedor nao o consiga ler - a protecao estrutural mais forte que existe.
  • Um historico real. A longevidade e um passado limpo e transparente importam para algo tao sensivel.

Gestores como o Bitwarden (open-source e auditado), o Proton Pass (sediado na Suica e auditado) e o NordPass (auditado de forma independente) sao exemplos que cumprem estes criterios - veja a nossa analise sobre se os gestores de palavras-passe sao seguros e os melhores gestores gratuitos para saber como compara-los.

O que fazer se usa o Passwork

Nao entre em panico, mas reveja o uso. Leia as reportagens, pondere as ligacoes divulgadas face ao seu proprio modelo de ameacas e, se nao se sentir confortavel, migre para uma alternativa transparente, auditada e zero-knowledge - alterando as suas palavras-passe mais importantes a partir de um dispositivo limpo a medida que avanca. Segundo os relatos, organizacoes mencionadas na cobertura estao a rever o seu uso; como individuo, pode tomar essa decisao mais depressa.

Em resumo: a historia do Passwork e menos sobre um produto ter sido "pirateado" e mais sobre uma licao que se aplica a todos eles. Como um gestor de palavras-passe protege tudo, escolha um cuja propriedade seja transparente, cujo codigo seja aberto e auditado, e cuja encriptacao signifique que nao conseguiria ler o seu cofre mesmo que quisesse.

Perguntas frequentes

O que descobriu a investigacao ao Passwork?

Segundo uma investigacao da OCCRP publicada em julho de 2026, e reportagens de orgaos como o Irish Times, o DutchNews e a Cybernews, o Passwork - um gestor de palavras-passe apresentado como um produto europeu, sediado em Espanha - tem origens russas e ligacoes em curso. As reportagens ligam o software a Arkhangelsk, na Russia, onde o site em lingua russa passwork.ru foi registado pela primeira vez em 2014, e afirmam que uma empresa irma russa esta certificada pelo servico de seguranca FSB, um processo que exige que o codigo-fonte seja revisto por auditores aprovados pelo Estado. Foi tambem relatado que as versoes europeia e russa lancaram a mesma atualizacao 7.6 com um dia de diferenca, o que aponta para uma base de codigo partilhada.

E inseguro usar o Passwork?

As reportagens nao afirmam a existencia de uma backdoor provada; a preocupacao levantada pelos especialistas e sobre confianca, transparencia e jurisdicao. Um gestor de palavras-passe guarda todas as credenciais que tem, por isso ligacoes nao divulgadas a um servico de seguranca estatal que revê o codigo sao, nas palavras da investigacao, um risco de seguranca ao nivel do Estado que merece ser levado a serio - sobretudo para organismos governamentais e empresas. Se esse risco e aceitavel e uma decisao que cada utilizador e organizacao tem de tomar, mas e exatamente o tipo de coisa sobre a qual um gestor de palavras-passe deveria ser totalmente transparente.

Como escolho um gestor de palavras-passe em que possa confiar?

Procure quatro coisas. Transparencia sobre quem detem a empresa e sob que jurisdicao opera. Codigo open-source mais auditorias de seguranca independentes recentes, para que as afirmacoes possam ser verificadas em vez de aceites por fe. Encriptacao end-to-end, zero-knowledge, para que o proprio fornecedor nao consiga ler o seu cofre. E um historico solido. Gestores como o Bitwarden (open-source, auditado), o Proton Pass (suico, auditado) e o NordPass (auditado de forma independente) sao exemplos que cumprem estes criterios.

O que devo fazer se uso o Passwork?

Nao entre em panico, mas reveja o uso. Leia as reportagens, pondere as ligacoes divulgadas face ao seu proprio modelo de ameacas e, se nao se sentir confortavel, mude para uma alternativa transparente, auditada e zero-knowledge, e altere as suas palavras-passe mais importantes a partir de um dispositivo limpo enquanto migra. Segundo os relatos, organizacoes mencionadas na cobertura estao a rever o seu uso; os individuos podem tomar a mesma decisao mais depressa.

O open-source torna um gestor de palavras-passe mais seguro?

Ajuda, porque permite que revisores independentes inspecionem o codigo em vez de confiarem na palavra do fornecedor - o principio 'nao confies, verifica'. O open-source e mais forte quando combinado com auditorias regulares de terceiros e encriptacao zero-knowledge. Por si so nao e uma garantia, mas combinado com auditorias e um proprietario transparente, e um dos sinais mais claros de que vale a pena confiar num gestor de palavras-passe.