O ano começou difícil para a segurança das senhas.
Uma enorme base de dados com 149 milhões de logins e senhas roubados foi encontrada exposta publicamente na internet.
As informações incluíam credenciais associadas a cerca de 48 milhões de contas do Gmail, além de milhões de outras em serviços populares.
Jeremiah Fowler, pesquisador em cibersegurança que descobriu o banco de dados, confirmou que ele não estava protegido por senha nem criptografado.
Ou seja, qualquer pessoa que o encontrasse poderia acessar essas informações.
Veja o que já sabemos e quais medidas devem ser tomadas.
Essa base continha 149.404.754 combinações únicas de usuário e senha, equivalentes a aproximadamente 96 GB de dados brutos.
Os dados incluem endereços de email, nomes de usuário, senhas e URLs diretas para login em várias plataformas.
Alguns registros indicam a presença de malware de roubo de informações, que captura silenciosamente credenciais em dispositivos infectados.
Importante destacar que esse vazamento não resultou de um novo ataque a empresas como Google ou Meta.
Na verdade, trata-se do acúmulo de credenciais roubadas ao longo do tempo, oriundas de violações anteriores e infecções por malware.
Essa diferença é relevante, mas o risco para os usuários permanece real.
Segundo estimativas de Fowler, os seguintes serviços foram os mais atingidos em número de credenciais expostas:
- Gmail: 48 milhões
- Facebook: 17 milhões
- Instagram: 6,5 milhões
- Yahoo Mail: 4 milhões
- Netflix: 3,4 milhões
- Outlook: 1,5 milhão
- Contas de email .edu: 1,4 milhão
- iCloud Mail: 900 mil
- TikTok: 780 mil
- Binance: 420 mil
- OnlyFans: 100 mil
O grande volume de contas de email é preocupante, pois o acesso a elas pode desbloquear outras plataformas.
Uma caixa de entrada comprometida permite redefinir senhas, acessar documentos privados, ler mensagens antigas e até se passar pelo titular da conta.
A base exposta estava ativa e crescendo durante a investigação, o que indica que o malware responsável ainda estava em operação.
Como não havia informações dos proprietários, após várias tentativas, Fowler denunciou o caso ao provedor de hospedagem, que levou quase um mês para tirar o banco de dados do ar.
Nesse período, qualquer pessoa com acesso a um navegador poderia consultar essa base — um risco grave para usuários comuns.
Os hackers não invadiram diretamente sistemas do Google ou Meta.
O ataque ocorreu via malware instalado em dispositivos individuais, que capturava senhas enquanto eram digitadas ou armazenadas nos navegadores.
Essa infecção ocorre frequentemente por meio de falsas atualizações de software, anexos maliciosos em emails, extensões de navegador comprometidas ou anúncios enganosos.
Trocar as senhas não resolve o problema se o malware não for removido.
Diante disso, algumas recomendações são essenciais, mesmo que tudo pareça normal por enquanto.
Vazamentos de credenciais como este costumam ser divulgados semanas ou meses depois.
Um dos maiores riscos é o reuso de senhas.
Se os criminosos obtiverem um login válido, costumam testar automaticamente a mesma combinação em dezenas de outros serviços.
Por isso, o ideal é mudar primeiro as senhas reutilizadas — especialmente em contas de email, financeiras e de armazenamento em nuvem.
Cada conta deve ter uma senha única.
O uso de um password manager ajuda a criar e armazenar senhas complexas com segurança, reduzindo o problema do reaproveitamento.
Confira também se seu email foi exposto em vazamentos anteriores.
Um dos melhores gerenciadores de senhas do mercado oferece um scanner integrado que detecta se seu endereço ou suas senhas já apareceram em incidentes conhecidos.
Encontrando uma correspondência, altere imediatamente as senhas repetidas e fortaleça a proteção dessas contas.
Outra tecnologia que vale considerar são as passkeys, que substituem as senhas por autenticação baseada em dispositivos com biometria ou hardware.
Isso elimina o risco de roubo via malware, já que não há senhas para capturar.
Gmail e várias plataformas já suportam passkeys, cuja adoção cresce rapidamente.
A autenticação multifator (2FA) é outra camada de defesa: mesmo que a senha seja comprometida, o invasor não consegue acessar a conta sem essa segunda verificação.
Prefira apps autenticadores ou chaves de hardware em vez de SMS, pois são mais seguros contra interceptações.
Antes de trocar suas senhas, é fundamental verificar e remover qualquer malware do seu dispositivo.
Utilize um antivírus eficiente, faça uma varredura completa e elimine tudo que for suspeito.
Mantenha os sistemas operacionais e navegadores sempre atualizados.
Ter um bom antivírus instalado é a melhor forma de se proteger contra links maliciosos e evitar infecções silenciosas.
Além disso, essa proteção avisa sobre emails de phishing e tentativas de ransomware, salvaguardando suas informações pessoais e ativos digitais.
Grande parte dos serviços online permite verificar históricos de login, locais e dispositivos usados.
Fique atento a qualquer atividade desconhecida, como acessos vindos de países ou dispositivos estranhos.
Se possível, encerre todas as sessões ativas e redefina as credenciais imediatamente.
As credenciais roubadas costumam ser combinadas com dados coletados em sites de corretores de informações, formando perfis detalhados com endereços, telefones, parentes e histórico profissional.
Serviços de remoção de dados da internet ajudam a reduzir o volume de informações pessoais disponíveis para criminosos, dificultando ataques de phishing e sequestro de contas.
Embora não exista garantia absoluta de exclusão completa, usar esses serviços é uma estratégia inteligente e eficaz para proteger sua privacidade.
Eles monitoram e removem seus dados de centenas de sites, reduzindo o risco de exposições e golpes.
Por fim, feche contas antigas e não utilizadas, principalmente aquelas vinculadas a assinaturas ou testes expirados.
Menos contas abertas significa menos portas de entrada para invasores.
Esse incidente reforça que o roubo de credenciais se tornou uma operação em escala industrial, com criminosos atuando rapidamente e priorizando o volume em vez da qualidade.
A boa notícia é que medidas simples ainda funcionam: senhas exclusivas, autenticação forte, proteção contra malware e cuidados básicos de cibersegurança fazem toda a diferença.
Não entre em pânico, mas também não ignore este alerta.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...