NOVA YORK, 25 de janeiro de 2026, 08:27 EST
- Um pesquisador sinalizou um banco de dados não protegido contendo cerca de 149 milhões de pares de nome de usuário e senha, levando à sua remoção da web
- O acervo continha dezenas de milhões de logins do Gmail e Facebook, além de contas bancárias, de streaming e de criptomoedas
- Pesquisadores vincularam o arquivo a malware “infostealer” em vez de uma violação de uma única grande plataforma
Um banco de dados não protegido contendo cerca de 149 milhões de nomes de usuário e senhas — incluindo 48 milhões ligados ao Gmail e 17 milhões ao Facebook — foi retirado do ar depois que um pesquisador de segurança alertou o provedor de hospedagem, segundo relatos. Allan Liska, analista de inteligência de ameaças da Recorded Future, observou que “infostealers criam uma barreira de entrada muito baixa para novos criminosos”, apontando para ferramentas disponíveis para aluguel por apenas algumas centenas de dólares por mês. (WIRED)
Essa exposição é séria, pois listas de senhas como essas permitem que hackers assumam o controle de contas de e-mail e redes sociais — portas de entrada para redefinir credenciais em outras plataformas. Elas também alimentam ataques de phishing, nos quais golpistas se passam por bancos, colegas ou equipes de suporte para roubar informações adicionais.
Pesquisadores rastrearam o arquivo até um malware “infostealer” — um tipo de software malicioso projetado para capturar credenciais de forma furtiva em dispositivos infectados, muitas vezes registrando as teclas digitadas. Isso sugere um roubo generalizado e caótico acontecendo diretamente nos dispositivos, em vez de uma violação direcionada aos servidores de uma única empresa.
Jeremiah Fowler relatou para a ExpressVPN que o banco de dados não tinha proteção por senha nem criptografia, contendo 149.404.754 credenciais de login únicas — cerca de 96 gigabytes de dados não processados. Ele observou que as amostras incluíam e-mails, nomes de usuário, senhas e as URLs exatas onde os logins ocorreram, um fator que pode acelerar ataques automatizados. (ExpressVPN)
O arquivo vazado abrangia uma ampla gama de serviços de consumo como Instagram, Netflix, TikTok, Yahoo, Outlook e iCloud, além de contas financeiras e plataformas de criptomoedas, informou a TechRepublic. Fowler alertou que credenciais ligadas a domínios de e-mail do governo podem permitir “spear-phishing direcionado, personificação ou servir como ponto de entrada em redes governamentais.” (TechRepublic)
O People.com, referenciando o relatório de Fowler, admitiu que não pôde confirmar independentemente as descobertas e apontou que criminosos frequentemente deixam grandes arquivos de dados desprotegidos em sua pressa por velocidade e escala. Fowler alertou que a combinação de credenciais e links de login “aumenta dramaticamente a probabilidade de fraude, possível roubo de identidade, crimes financeiros e campanhas de phishing.” (People)
Quase nada se sabe sobre quem montou o banco de dados ou por quanto tempo ele ficou exposto, relatou o TechRadar. Levou quase um mês para que ele fosse retirado do ar depois que o provedor de hospedagem inicialmente culpou uma subsidiária que teria agido por conta própria. O veículo observou que os dados pareciam indexados para facilitar a busca, sugerindo que provavelmente foram construídos para reutilização, e não simplesmente deixados expostos por engano. (TechRadar)
Mas esses números de destaque podem ser enganosos. Fowler admitiu que não identificou quem administra o servidor, e ainda não se sabe quantas credenciais são atuais, quantas vêm de contas ativas ou quantas já estavam disponíveis anteriormente.
O conjunto de dados, por si só, não prova que Google, Meta ou qualquer outra empresa citada tenha sido hackeada diretamente. Dados obtidos por infostealers geralmente vêm de dispositivos comprometidos antes de serem agrupados, revendidos, republicados e misturados com vazamentos antigos.
Fowler aconselhou os usuários a verificarem a atividade de suas contas, reforçarem as configurações de segurança e evitarem reutilizar senhas em vários sites, de acordo com seu relatório e coberturas relacionadas. Especialistas em segurança frequentemente recomendam a autenticação em dois fatores—uma camada extra envolvendo um código ou leitura biométrica—quando senhas são comprometidas.
Para empresas e órgãos públicos, a ameaça vai além da fraude ao consumidor. Logins de e-mail corporativo e credenciais “.edu” ou “.gov” podem ajudar invasores a criar tentativas de phishing mais convincentes ou até acessar sistemas internos quando senhas são reutilizadas.
Retirar um banco de dados do ar não apaga as consequências. Cópias podem circular rapidamente, e mercados de logins roubados continuam ativos — uma fonte constante para golpes que dependem mais de credenciais recentes e paciência do que de complexidade.
