Megaexposição de 183 milhões de e-mails revela a engrenagem dos stealer logs e acende alerta global

Quem está em risco? Praticamente qualquer pessoa que utilize serviços populares de e-mail, como Gmail, Yahoo ou Outlook. O quê ocorreu? Um conjunto batizado de “Synthient Stealer Log Threat Data” expôs 183 milhões de endereços eletrônicos únicos dentro de uma base total de 23 bilhões de linhas de credenciais e históricos de navegação, somando 3,5 terabytes de informações. Quando esses dados vieram à tona? A exposição tornou-se pública após a incorporação do material a um serviço de verificação de vazamentos, etapa que encerrou quase um ano de coleta automatizada. Onde tudo foi capturado? Direito do teclado das vítimas, por meio de malwares conhecidos como infostealers, e depois distribuído em canais do Telegram. Como esse volume foi reunido? Um sistema autônomo que vigiou 30 bilhões de mensagens, analisou 80 bilhões de credenciais e operou com 20 contas da plataforma de mensagens atuando como robôs. Por quê isso importa? Porque 16,4 milhões de e-mails jamais vistos em vazamentos anteriores agora circulam entre criminosos, reforçando ataques que exploram senhas reutilizadas.

Dimensão inédita dos dados capturados

O lote de 183 milhões de endereços representa apenas a parcela “única” dentro de um universo gigantesco. Ao todo, os arquivos trazem 23 bilhões de linhas que combinam logins, senhas e históricos de navegação. Em termos de armazenamento, são 3,5 TB compactados — um volume que sinaliza anos de coleta contínua.

Uma amostragem de 94 mil e-mails revelou que 92 % já apareciam em vazamentos anteriores, sobretudo no corpus chamado “ALIEN TXTBASE”. Entretanto, os 8 % inéditos equivalem a 16,4 milhões de novas vítimas. Para serviços de segurança, qualquer inclusão inédita desta magnitude é relevante: cada endereço novo representa um alvo fresco para phishing, sequestro de contas e extorsão.

Stealer logs: como diferem de vazamentos convencionais

Enquanto brechas tradicionais ocorrem quando servidores são violados em um instante isolado, os stealer logs são produzidos por malwares residentes que atuam sem cessar. Esses infostealers interceptam o que o usuário digita no exato momento do login, registrando endereço do site, nome de usuário e senha. O resultado é um fluxo contínuo, comparado a uma “mangueira de incêndio” que nunca fecha.

Além de credenciais, muitos destes malwares também coletam cookies de sessão, histórico de navegação e até carteiras de criptomoedas. Os arquivos gerados trafegam em fóruns, redes sociais e, principalmente, no Telegram, onde são agregados, recompilados e redistribuídos em ciclos sucessivos. Diferentemente de bases pontuais como as do Dropbox ou Ashley Madison, esse modelo torna impossível apontar um momento exato de “fim do incidente”, pois novos dados chegam a cada segundo.

Telegram como epicentro da distribuição criminosa

A análise do conjunto Synthient confirma que a plataforma de mensagens tornou-se a praça principal para comércio de dados roubados. Ali se formou um ecossistema com três papéis definidos:

Primary Sellers: mantêm canais públicos onde divulgam amostras gratuitas e canais privados pagos onde vendem o pacote completo. Para “marcar território”, frequentemente protegem arquivos com senha e inserem link do próprio canal dentro do material compactado.

Aggregators: reúnem dados de vários vendedores, misturam e redistribuem. Muitas vezes atuam em busca de reputação, não necessariamente de lucro direto.

Traffers: especializados na disseminação do malware. Trabalham em parceria com sellers para infectar novos alvos e podem exibir lotes menores como prova de eficácia.

O alcance desse sistema impressiona: uma única conta premium chegou a ingerir 50 milhões de credenciais em 24 horas. Durante o período de monitoramento, o engine central chegou a indexar 1,2 bilhão de mensagens por dia.

Arquitetura do sistema que coletou 80 bilhões de credenciais

Para rastrear o fluxo de dados, os operadores do Synthient criaram uma malha automatizada com cerca de 20 contas premium do próprio mensageiro. Cada conta atuava como worker, entrando em canais suspeitos, baixando anexos e extraindo conteúdos. A lógica de navegação entre canais seguiu um modelo de rede de confiança inversa: se um espaço malicioso referenciava outro canal, a probabilidade de que o destino também fosse malicioso crescia, elevando a prioridade de ingestão.

Dois obstáculos principais exigiram solução técnica. O primeiro foi a ausência de padrão de formatação: alguns grupos adotam CSV, outros TXT, e há quem utilize estruturas proprietárias complexas. O segundo foi a duplicação massiva: para não desperdiçar recursos, o sistema implementou duas camadas de deduplicação, comparando hashes de arquivos ainda no Telegram e, depois, no banco de dados.

Durante quase um ano, 30 bilhões de mensagens foram inspecionadas e 80 bilhões de credenciais passaram por análise. Mesmo com filtros, o motor registrou picos de 600 milhões de credenciais processadas em um único dia.

Credenciais recicladas alimentam ataques de credential stuffing

Além dos stealer logs, circulam listas conhecidas como credential stuffing lists, contendo pares e-mail:senha derivados de vazamentos antigos. Criminosos utilizam estas listas para testar logins em múltiplos serviços, apostando na reutilização de senhas por parte dos usuários.

O banco de senhas comprometidas do serviço de verificação mencionado recebeu os pares extraídos do Synthient. Apenas nesse serviço, foram registradas 17,45 bilhões de requisições de checagem em 30 dias, média de 6 733 consultas por segundo. O volume reflete a demanda de empresas e indivíduos que monitoram se suas senhas já foram divulgadas.

Impacto para usuários brasileiros

Investigações internas indicaram presença expressiva de credenciais de internautas do Brasil. O país aparece em múltiplos segmentos de dados, incluindo acessos a webmail, bancos e serviços de apostas. Embora nomes de domínio não tenham sido discriminados publicamente, a prevalência de provedores globais garante abrangência nacional.

Empresas visadas também precisaram esclarecer que não houve violação direta de seus servidores. Uma grande fornecedora de serviços de e-mail divulgou nota negando qualquer invasão às próprias infraestruturas, reiterando que as credenciais foram coletadas nas máquinas das vítimas. A empresa recomendou ativação de verificação em duas etapas, adoção de chaves de acesso e troca imediata de senhas expostas.

Por que a duplicação não diminui a gravidade

A sobreposição identificada — 92 % dos e-mails já estarem em bases anteriores — pode sugerir efeito menor à primeira vista, mas expõe um mecanismo preocupante. Quando uma senha vazada não é alterada, ela se propaga sucessivamente, aparecendo em dezenas de arquivos ao longo do tempo. Esse efeito “bola de neve” amplia o alcance de ataques automatizados, aumenta a eficiência de campanhas de phishing e facilita invasões a contas bancárias ou de redes sociais.

No caso do Synthient, mesmo a fatia repetida traz valor aos invasores, pois confirma que os logins seguem válidos. Já os 16,4 milhões de endereços inéditos ampliam a superfície de ataque, fornecendo novas credenciais para testes em massa.

Recomendações baseadas nos fatos apurados

Diante do cenário descrito, especialistas em segurança indicam ações imediatas fundamentadas nas informações coletadas:

Verificação de exposição: consultar serviços de checagem com o endereço de e-mail e confirmar presença no conjunto Synthient Stealer Log Threat Data.

Substituição de senhas: trocar imediatamente qualquer senha que conste em bases de dados comprometidas, preferindo combinações únicas e complexas para cada serviço.

Autenticação multifator: habilitar métodos adicionais de verificação em plataformas críticas, utilizando aplicativos autenticadores ou chaves físicas.

Gerenciador de senhas: adotar ferramentas que gerem credenciais robustas e monitorem se elas surgem em novos vazamentos.

Varredura antimalware: realizar exames completos nos dispositivos, com foco em detecção de infostealers ainda ativos.

Monitoramento contínuo: permanecer atento a novas divulgações, pois o modelo de stealer logs indica atualizações constantes e não eventos pontuais.

Consequências para o cenário de cibersegurança

O episódio reforça a transição do cibercrime organizado para plataformas de mensagens populares, onde a barreira de entrada é baixa e o alcance global é instantâneo. A tromba d’água de dados cria desafios inéditos para quem precisa diferenciar registros realmente novos daqueles já conhecidos, tarefa essencial para priorizar respostas.

Com a doação do acervo ao serviço público de verificação, busca-se evitar a chamada “vitimização dupla”: além de ter a senha capturada, o usuário ficaria sem meios de descobrir o problema. A disponibilização amplia a transparência, mas mesmo assim não encerra o ciclo, pois novos infostealers continuam ativos, alimentando fresh dumps diariamente.