Vazamento de 149 milhões de credenciais expõe riscos à segurança
Um banco de dados com 149 milhões de credenciais de acesso foi encontrado exposto na internet por um pesquisador de segurança ucraniano. Este vazamento, que inclui senhas de serviços como Gmail, Instagram, Facebook e até do gov.br, é um dos maiores já registrados. A descoberta, realizada por Jeremiah Fowler em dezembro de 2025, evidencia como malwares do tipo infostealer continuam a comprometer dispositivos de usuários globalmente, acumulando 96 GB de informações sensíveis.
A exposição desse banco de dados acende um alerta para os departamentos de TI das empresas. O material permaneceu acessível por cerca de um mês antes de ser removido após notificação ao provedor de hospedagem.
O que torna esse vazamento particularmente alarmante é sua origem em malwares infostealers, que operam silenciosamente em dispositivos de usuários, coletando credenciais digitadas e enviando-as para servidores controlados por criminosos.
Dimensão do comprometimento preocupa mercado
Os dados revelam a magnitude da operação criminosa. O Gmail é o serviço mais afetado, com 48 milhões de credenciais expostas, seguido pelo Facebook com 17 milhões e Instagram com 6,5 milhões. Serviços financeiros e corporativos também foram impactados, com 4 milhões de contas Yahoo, 3,4 milhões de acessos Netflix, 1,5 milhão de credenciais Outlook e 900 mil contas iCloud comprometidas.
Além disso, 1,4 milhão de e-mails com domínio .edu e credenciais do gov.br aumentam as preocupações, já que instituições educacionais e governamentais lidam com dados sensíveis, tornando o vazamento uma questão de segurança nacional.
Risco corporativo multiplica com credential stuffing
Para os CISOs e diretores de TI, o cenário é desafiador. A técnica de credential stuffing, que utiliza credenciais vazadas para acessar outros serviços, transforma cada senha exposta em um vetor de ataque. Especialistas alertam que a reutilização de senhas em serviços pessoais cria brechas significativas de segurança.
Um colaborador que usa a mesma senha do e-mail corporativo em uma conta Netflix comprometida pode ser um ponto de entrada para ataques mais sofisticados. Google e o Ministério da Gestão do Brasil negaram falhas em seus sistemas, atribuindo a exposição ao comprometimento de dispositivos individuais por malware.
Estratégias de mitigação para ambientes corporativos
Uma resposta eficaz a esse vazamento exige ações imediatas em várias frentes. Departamentos de TI devem implementar autenticação multifator (MFA) para eliminar a senha como único ponto de falha. Políticas de senhas únicas para cada serviço são essenciais, e gerenciadores de senhas devem ser adotados para evitar a reutilização de credenciais.
A segmentação de acesso baseada em princípios de zero trust é crucial, garantindo que mesmo com credenciais válidas, atacantes enfrentem camadas adicionais de verificação. Treinamentos regulares sobre higiene digital devem incluir a conscientização sobre infostealers, e o monitoramento contínuo da dark web pode ajudar a identificar credenciais comprometidas.
Impacto financeiro e reputacional em jogo
Os custos de um incidente de segurança envolvendo credenciais comprometidas vão além dos danos imediatos. Interrupções operacionais, investigações forenses e danos à reputação podem se acumular rapidamente. Setores regulados enfrentam pressões adicionais, já que a Lei Geral de Proteção de Dados (LGPD) impõe sanções severas para organizações que não adotam medidas de segurança adequadas.
A presença de credenciais gov.br no vazamento sinaliza que fornecedores governamentais e prestadores de serviços públicos estão sob maior escrutínio, e o mercado de ciberseguros pode exigir requisitos mais rigorosos para cobertura. Este incidente destaca que a segurança corporativa moderna deve ir além dos perímetros tradicionais, exigindo uma abordagem holística que combine tecnologia, processos e uma cultura organizacional resiliente.
Fonte por: Its Show