Pesquisador descobre 149 milhões de senhas expostas em banco de dados público de 96 GB

A expressão senhas expostas ganhou novo peso depois que um especialista em cibersegurança localizou um servidor aberto na internet contendo, sem qualquer proteção, 149 milhões de combinações de login e senha referentes a serviços de e-mail, redes sociais, plataformas de streaming, contas financeiras e até registros associados ao domínio gov.br.

Dimensão do incidente: 149 milhões de senhas expostas em 96 GB de dados

O fato central envolve a descoberta de um repositório de 96 GB que armazenava, em texto puro, endereços de e-mail, nomes de usuário, chaves de acesso e links diretos para páginas de login. O volume encontrado permite classificar o episódio entre os maiores vazamentos não autenticados já relatados, pois qualquer pessoa que chegasse ao endereço do servidor podia examinar ou copiar as informações. O responsável pelo achado, o pesquisador Jeremiah Fowler, confirmou que nada no banco de dados indicava quem o administrava ou por que motivo permanecia disponível publicamente.

Origem provável das senhas expostas: operação silenciosa de infostealers

Segundo avaliação do próprio pesquisador, as credenciais foram coletadas por malwares do tipo infostealer. Esse gênero de código malicioso se instala em dispositivos sem chamar atenção e filtra dados de autenticação salvos em navegadores, aplicativos ou gerenciadores de senhas locais. Normalmente, o software malicioso envia as capturas a pastas em nuvem configuradas de forma automática; quando essas pastas não recebem proteção adequada, transformam-se em pontos de exposição secundária, como ocorreu neste caso. O crescimento constante do número de registros observado por Fowler sugere que os dispositivos contaminados continuavam abastecendo o repositório em tempo real.

Serviços afetados e volume de senhas expostas por plataforma

Uma amostra preliminar dos 149 milhões de registros demonstra a abrangência do vazamento. Entre os provedores de e-mail, a distribuição aproximada ficou assim:

• Gmail: 48 milhões
• Yahoo: 4 milhões
• Outlook: 1,5 milhão
• iCloud: 900 mil
• Endereços acadêmicos (.edu): 1,4 milhão

No campo das redes sociais, serviços de entretenimento e plataformas financeiras, foram mapeadas:

• Facebook: 17 milhões
• Instagram: 6,5 milhões
• Netflix: 3,4 milhões
• TikTok: 780 mil
• Binance: 420 mil
• OnlyFans: 100 mil

Chamou especial atenção a presença de credenciais ligadas a domínios governamentais de vários países, inclusive contas associadas ao gov.br. Embora muitos desses acessos possam ter privilégios limitados, a simples existência de usuários governamentais em um vazamento amplia o vetor de risco para campanhas direcionadas de spear phishing ou, em cenários extremos, para tentativas de infiltração em redes oficiais.

Etapas até o bloqueio do servidor que mantinha as senhas expostas

Ao detectar a falha, Fowler utilizou o canal de denúncia do provedor de hospedagem responsável e iniciou uma série de contatos. O relato indica que o servidor era operado por uma subsidiária da empresa de hosting, a qual atuava de forma independente. Foram quase quatro semanas de troca de mensagens até que o acesso público fosse finalmente suspenso; nesse intervalo, o número de registros no banco de dados continuou crescendo. O provedor não revelou quem administrava o sistema nem se havia algum propósito legítimo por trás do acúmulo de credenciais.

Consequências de curto e médio prazo para quem teve senhas expostas

A liberação de 149 milhões de combinações válidas de e-mail e senha favorece ataques automatizados conhecidos como credential stuffing. Nesse padrão de ofensiva, softwares tentam as credenciais em larga escala em múltiplos serviços até encontrarem correspondências. Quando o invasor obtém acesso, pode alterar métodos de recuperação, iniciar transações fraudulentas, coletar dados pessoais ou disseminar mensagens de phishing a partir de contas que parecem legítimas. A associação entre endereços de e-mail e serviços utilizados, disponível no material exposto, amplia a janela para elaboração de perfis detalhados, gerando cenários de extorsão ou de uso indevido de informações privadas.

Pronunciamentos preliminares de serviços impactados

Embora a autoria do repositório não tenha sido identificada, empresas cujos domínios aparecem na listagem começaram a se manifestar. O Google informou que acompanha continuamente compilações como essa e executa, de forma automatizada, bloqueios de contas e redefinições de senhas quando detecta vazamentos. Outras plataformas foram contatadas, mas até o momento não divulgaram detalhes adicionais sobre ações específicas relacionadas a este incidente.

Práticas recomendadas para usuários cujas senhas possam estar expostas

Especialistas em segurança indicam um conjunto de medidas para mitigar riscos em situações de vazamento expressivo:

• Atualização permanente de sistemas: manter sistemas operacionais, navegadores e softwares de segurança na versão mais recente reduz a chance de reinfecção por malwares coletores de credenciais.

• Varredura antimalware: a simples troca de senha não neutraliza ameaças se o dispositivo permanecer comprometido; a remoção do infostealer deve preceder qualquer redefinição.

• Autenticação em duas etapas (2FA): adicionar fatores de segurança extra, como aplicativos de código temporário ou chaves físicas, dificulta o uso não autorizado de credenciais vazadas.

• Não reutilizar senhas: utilizar combinações únicas por serviço contém o impacto de um vazamento e evita efeitos em cascata.

• Revisão de permissões: analisar acessos concedidos a aplicativos, extensões de navegador e integrações externas, removendo autorizações desnecessárias.

• Preferência por lojas oficiais: instalar aplicativos somente em repositórios verificados minimiza o contato com software malicioso.

• Gerenciadores de senhas: ferramentas especializadas criam combinações complexas e armazenam dados de forma criptografada; embora não substituam camadas antimalware, ajudam a combater métodos de força bruta ou tentativas de adivinhação simples.

Fronteira entre pesquisa responsável e uso ilícito das senhas expostas

Fowler declarou que não baixou o conjunto de dados e limitou seu trabalho a registrar a vulnerabilidade e alertar as partes envolvidas. A postura segue a prática de divulgação responsável, em que pesquisadores notificam proprietários de sistemas vulneráveis antes de tornarem público qualquer detalhe técnico. Ao mesmo tempo, o episódio ilustra o dilema recorrente da cibersegurança: informações coletadas por criminosos podem acabar, involuntariamente, disponíveis para todos, inclusive para agentes que buscam fins malignos ou para curiosos que não avaliam as implicações legais de manipular dados alheios.

Panorama de tendências: por que grandes lotes de senhas expostas continuarão surgindo

O incidente reforça um movimento observado pela indústria de segurança digital: enquanto infostealers se tornam mais sofisticados e fáceis de adquirir em fóruns clandestinos, a quantidade de credenciais coletadas cresce de forma exponencial. Paralelamente, serviços de armazenamento em nuvem oferecem elevada capacidade a baixo custo, o que encoraja operadores mal-intencionados a guardar os “loot drops” em servidores externos sem a configuração adequada. A combinação desses fatores resulta na recorrência de vazamentos massivos e na necessidade constante de educação dos usuários sobre práticas de higiene digital.

Novos posicionamentos das empresas citadas, bem como informações sobre possíveis investigações oficiais, são aguardados para os próximos dias, à medida que cada serviço analisa se e como as respectivas credenciais apareceram no banco de dados identificado.