Uma descoberta alarmante acendeu um novo alerta na segurança digital: um pesquisador de cibersegurança identificou uma base de dados pública com impressionantes 149 milhões de logins e senhas desprotegidos na internet. A lista de contas expostas é vasta, abrangendo desde redes sociais populares e serviços de streaming até plataformas financeiras e, o mais preocupante, registros vinculados ao gov.br, o portal de serviços do governo brasileiro.
O achado foi feito por Jeremiah Fowler, que compartilhou os detalhes com a ExpressVPN. Juntos, eles publicaram um relatório para conscientizar sobre os sérios riscos que essa vulnerabilidade representa.
Como milhões de dados foram parar na internet?
Fowler explicou que a base de dados era gigantesca, com mais de 96 GB de informações brutas, incluindo e-mails, nomes de usuário, senhas e até links diretos para acesso a contas. O mais grave é que todo esse material não tinha proteção por senha nem criptografia, ficando acessível para qualquer pessoa que encontrasse o endereço do servidor online. Imagine a facilidade para criminosos!
O pesquisador relatou que o banco de dados estava totalmente desprotegido e sem qualquer identificação sobre quem o administrava. Ao analisar uma pequena parte dos arquivos, ele se deparou com milhares de registros contendo credenciais completas e os endereços das páginas de login dos serviços correspondentes.
Publicidade“Esses dados parecem ter sido reunidos por um tipo de vírus de computador conhecido como ‘infostealer’. Esse programa, feito para roubar informações, infecta aparelhos e coleta dados de acesso sem que a pessoa perceba. Geralmente, ele envia tudo para repositórios na nuvem que, se mal configurados, acabam expondo as informações novamente”, explicou Fowler.
Quais serviços foram atingidos?
A lista de plataformas cujos usuários tiveram dados expostos é longa e inclui alguns dos maiores nomes da internet. Entre as redes sociais e serviços de entretenimento, Jeremiah Fowler citou Facebook, Instagram, TikTok, Netflix, HBO Max, Disney+ e Roblox. Também foram encontradas contas do OnlyFans, além de acessos ligados a serviços financeiros, carteiras de criptomoedas, bancos e cartões de crédito.
Um ponto que chamou muito a atenção do pesquisador foi a presença de credenciais associadas a domínios ".gov" de vários países, incluindo o Brasil. Mesmo que sejam acessos limitados, eles podem ser usados em tentativas de golpes como spear phishing (um tipo de golpe de e-mail direcionado), falsificação de identidade ou até mesmo abrir portas para redes governamentais, o que é um risco enorme.
Alguns números da exposição:
- Gmail: Aproximadamente 48 milhões de contas
- Facebook: 17 milhões de contas
- Instagram: 6,5 milhões de contas
- Netflix: 3,4 milhões de contas
- Yahoo: 4 milhões de contas
- Outlook: 1,5 milhão de contas
- iCloud: 900 mil contas
- TikTok: 780 mil contas
- Binance: 420 mil contas
- OnlyFans: 100 mil contas
- Endereços “.edu”: 1,4 milhão de contas
A luta para remover o conteúdo e a falta de responsáveis
Sem conseguir identificar o proprietário da base de dados, Fowler comunicou o provedor de hospedagem por meio do canal de denúncias. A resposta inicial indicava que o sistema era mantido por uma subsidiária que operava de forma independente. Foram quase quatro semanas e várias tentativas de contato até que o acesso fosse suspenso e as credenciais parassem de ser disponibilizadas publicamente.
O provedor não informou quem gerenciava o banco de dados, nem se o material havia sido utilizado para crimes ou apenas para pesquisa. Durante o tempo em que a base ficou online, o número de registros continuou a crescer, mostrando a atividade contínua do malware.
Quais os riscos para você?
A exposição de tantos dados aumenta o perigo de ataques automatizados, como o chamado credential stuffing, onde criminosos testam combinações de e-mail e senha em vários serviços. Com isso, cresce a chance de fraudes, roubos de identidade e campanhas de phishing que parecem verdadeiras por citarem contas reais.
Fowler também alertou para os impactos na privacidade, já que a ligação entre e-mails e serviços usados pode permitir a criação de perfis muito detalhados sobre as vítimas. Se pessoas não autorizadas acessarem esses dados, isso pode levar a extorsões, exposição de conversas privadas ou uso indevido de informações pessoais.
Como se proteger?
O pesquisador enfatiza que apenas trocar a senha pode não ser o suficiente se o seu aparelho estiver infectado por algum vírus. Ele recomenda fortemente algumas medidas de segurança:
- Mantenha seus sistemas operacionais e softwares de segurança (antivírus, por exemplo) sempre atualizados.
- Revise as permissões de aplicativos e extensões de navegador que você usa.
- Evite instalar programas fora das lojas oficiais.
- Use a autenticação em duas etapas (ou verificação em duas etapas) em todos os serviços possíveis.
- Verifique o histórico de login de suas contas regularmente para identificar acessos estranhos.
- Nunca reutilize a mesma senha em serviços diferentes.
Fowler acrescenta que gerenciadores de senhas podem ajudar contra ataques mais simples, mas não substituem a necessidade de proteção contra malwares mais avançados.
O que dizem as empresas?
O Google foi uma das poucas empresas a se manifestar sobre o caso. Um porta-voz declarou:
“Estamos cientes de relatos sobre um conjunto de dados contendo uma variedade de credenciais, incluindo algumas do Gmail. Esses dados representam uma compilação de logins de ‘infostealer’ – credenciais coletadas de dispositivos pessoais por malware de terceiros – que foram agregadas ao longo do tempo. Monitoramos continuamente esse tipo de atividade externa e temos proteções automatizadas em vigor que bloqueiam contas e forçam a redefinição de senha quando identificamos credenciais expostas.”
Outras plataformas e órgãos citados no relatório, como Meta (Facebook/Instagram), Microsoft, Apple, TikTok, Netflix, Binance, OnlyFans e o Ministério da Gestão e da Inovação em Serviços Públicos, foram procurados para um posicionamento, mas até o momento não houve retorno público.
