Um suposto megavazamento de dados envolvendo mais de 16 bilhões de credenciais — entre emails, logins e senhas — de usuários de plataformas como Google, Apple, Meta, GitHub, Telegram e serviços governamentais está no centro de uma intensa controvérsia no setor de cibersegurança. A denúncia, feita pela equipe do portal Cybernews, aponta para a existência de uma das maiores coleções de credenciais expostas já registradas na internet. O Brasil, segundo os pesquisadores, estaria entre os países mais afetados.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link
• Assine nossa newsletter neste link.

Embora especialistas independentes questionem a real dimensão e atualidade dos dados, há consenso sobre o potencial de risco que esse tipo de vazamento representa — tanto para cidadãos quanto para empresas e instituições públicas.

Um vazamento que preocupa, mesmo entre céticos

O alerta foi emitido após análise de 30 arquivos de dados descobertos em fóruns de cibercriminosos. Cada um deles conteria entre dezenas de milhões e até 3,5 bilhões de registros, totalizando, segundo a investigação, uma massa crítica de 16 bilhões de entradas únicas. Os dados teriam sido compilados a partir de diferentes fontes, como infostealers (malwares especializados em roubo de dados), ataques de credential stuffing e vazamentos anteriores.

“Esses arquivos não são apenas um apanhado de dados antigos: há informações inéditas, estruturadas de forma que permite ataques altamente escaláveis”, afirma Vilius Petkauskas, editor do Cybernews.

Contudo, especialistas como Alon Gal, CTO da Hudson Rock, adotam uma abordagem mais cautelosa. Em seu parecer, o caso pode representar “uma combinação de credenciais antigas com dados possivelmente fabricados”. Ainda assim, Gal reconhece a importância do alerta: “Mesmo se for um compilado de dados vazados anteriormente, o impacto pode ser severo. Cibercriminosos se alimentam desse tipo de material”.

O que foi exposto?

As informações disponíveis até o momento sugerem que os dados incluem:

• Endereços de email e nomes de usuário;
• Senhas em texto plano ou com baixa criptografia;
• URLs e domínios de serviços associados;
• Em alguns casos, metadados como IPs, localizações e configurações de navegador.

A gravidade da exposição, porém, reside no volume e na estrutura: a compilação permite que ataques como phishing direcionado, invasão de contas, roubo de identidade e fraudes financeiras sejam realizados com alto grau de personalização.

Brasil aparece como um dos alvos centrais

Entre os arquivos analisados, o maior — com mais de 3,5 bilhões de registros — estaria diretamente relacionado a países de língua portuguesa, especialmente o Brasil. Embora a origem exata ainda não tenha sido confirmada, os pesquisadores acreditam que parte substancial do vazamento pode ter se originado de softwares maliciosos disseminados no país ao longo dos últimos anos.

“Se confirmada a representatividade brasileira nessa amostra, estaríamos diante de um cenário de vulnerabilidade coletiva sem precedentes”, alerta um especialista brasileiro ouvido sob condição de anonimato.

Credenciais como porta de entrada para crimes digitais

O uso de senhas repetidas e a ausência de autenticação multifator (2FA) continuam sendo fatores críticos para o sucesso de campanhas cibercriminosas. Segundo o relatório, as credenciais vazadas podem ser usadas para testar acessos em bancos, redes sociais, e-mails e plataformas de governo — como o portal Gov.br — elevando consideravelmente os riscos de fraudes e sequestros de conta.

De acordo com o Departamento de Segurança Nacional dos EUA (DHS), infostealers modernos também podem capturar cookies de sessão, digitações em tempo real e até imagens de tela, o que amplifica o impacto do vazamento para além das senhas em si.

Como se proteger agora?

Especialistas recomendam medidas preventivas urgentes:

• Troque suas senhas, especialmente se não o faz há mais de seis meses;
• Ative a autenticação em dois fatores (2FA), preferencialmente via aplicativo autenticador;
• Evite repetir senhas em serviços distintos;
• Utilize gerenciadores de senhas confiáveis;
• Esteja atento a tentativas de phishing e ligações suspeitas;
• Verifique se suas credenciais foram expostas em serviços como Have I Been Pwned.

Apesar das incertezas sobre a veracidade e atualidade de todos os dados divulgados, a existência de uma base com bilhões de registros estruturados deve servir como alerta. A negligência com segurança digital, tanto no setor público quanto no privado, segue sendo uma brecha explorada com facilidade por grupos cibercriminosos.

Para o usuário comum, a lição permanece clara: a proteção começa com práticas básicas, mas consistentes de segurança digital. A vigilância não deve ser pontual, mas contínua.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.