Um banco de dados sem qualquer proteção revelou 149 milhões de combinações de login e senha de serviços como Gmail, Instagram, plataformas financeiras e até contas vinculadas ao gov.br. A exposição foi identificada pelo pesquisador de cibersegurança Jeremiah Fowler, que compartilhou a descoberta com a ExpressVPN.
De acordo com Fowler, os arquivos ocupavam 96 GB e estavam hospedados em um servidor público, acessível a qualquer usuário que encontrasse o endereço. Entre as informações vazadas havia e-mails, nomes de usuário, senhas e links diretos para páginas de login.
Origem provável: malware coletor de credenciais
O especialista atribui o vazamento a um infostealer, tipo de software malicioso projetado para infectar dispositivos e extrair dados de acesso. Esses programas costumam enviar as credenciais roubadas para repositórios na nuvem, que podem ficar expostos caso a configuração de segurança seja inadequada.
Plataformas mais afetadas
A análise de Fowler apontou os seguintes volumes de credenciais:
- Gmail: 48 milhões
- Facebook: 17 milhões
- Instagram: 6,5 milhões
- Yahoo: 4 milhões
- Netflix: 3,4 milhões
- Outlook: 1,5 milhão
- Domínios
.edu: 1,4 milhão - iCloud: 900 mil
- TikTok: 780 mil
- Binance: 420 mil
- OnlyFans: 100 mil
O pesquisador também encontrou milhares de registros associados a domínios .gov de diversos países, inclusive do Brasil, o que ele considera um risco potencial para ataques de spear phishing e tentativas de invasão a redes governamentais.
Servidor ficou online por quase um mês
Sem identificar o responsável pelo banco de dados, Fowler notificou o provedor de hospedagem. Segundo ele, foram necessárias quase quatro semanas e várias tentativas de contato até que o acesso fosse interrompido. Durante esse período, o número de registros continuou a crescer.
Possíveis consequências
Para o pesquisador, um conjunto dessa magnitude amplia a eficácia de ataques automatizados de credential stuffing, nos quais criminosos testam combinações vazadas em diferentes serviços. As informações também podem facilitar fraude, roubo de identidade e campanhas de phishing mais convincentes.
Imagem: Jeriah Fowler
Recomendações de segurança
Fowler sugere aos usuários ativar a autenticação em duas etapas, não reutilizar senhas, revisar permissões de aplicativos e manter sistemas e antivírus atualizados. Ele ressalta que mudar a senha não basta se o dispositivo permanecer infectado por malware.
Posicionamento do Google
Procurado, o Google afirmou monitorar esse tipo de compilação de dados e declarou possuir mecanismos automáticos que bloqueiam contas e forçam a troca de senha quando credenciais comprometidas são detectadas. Outras empresas citadas ainda não se pronunciaram.
A pesquisa foi divulgada com o objetivo de conscientizar sobre os riscos da coleta em massa de credenciais e a importância de práticas básicas de higiene digital.
Com informações de WizyThec
