Pesquisador revela 149 milhões de senhas expostas de Gmail, Instagram e gov.br
Pesquisador revela exposição de 149 milhões de logins e senhas na internet.
Um especialista em cibersegurança descobriu um banco de dados público que contém 149 milhões de logins e senhas expostos, abrangendo diversas contas de redes sociais, serviços de streaming, plataformas financeiras e registros do gov.br. A descoberta, feita por um pesquisador, foi divulgada para alertar sobre os riscos envolvidos na segurança digital.
O banco de dados, segundo o pesquisador, não estava protegido por senha ou criptografia e continha aproximadamente 96 GB de dados brutos, incluindo e-mails, nomes de usuário, senhas e links de acesso. Qualquer pessoa que tivesse acesso ao endereço do servidor poderia acessar essas informações, aumentando o risco de uso indevido.
O pesquisador relatou que o banco de dados estava publicamente acessível e não havia informações sobre quem o administrava. Em uma análise inicial, ele encontrou milhares de registros com credenciais completas e links para as páginas de login dos serviços associados.
Os dados foram supostamente coletados por meio de um malware denominado “infostealer”, que infecta dispositivos e coleta informações de acesso. Esse tipo de programa costuma enviar as credenciais roubadas para repositórios em nuvem, que podem ser expostos se não forem configurados corretamente.
A lista de registros incluía usuários de várias plataformas populares, como Facebook, Instagram, TikTok, Netflix, HBO Max, Disney+, Roblox e OnlyFans, além de acessos a serviços financeiros, carteiras de criptomoedas, bancos e cartões de crédito. O pesquisador destacou a presença de credenciais associadas a domínios “.gov” de diversos países, alertando para os riscos de uso em tentativas de spear phishing e falsificação de identidade.
Fowler também divulgou estimativas sobre o número de registros relacionados a provedores de e-mail e serviços online. Entre os dados, estavam aproximadamente 48 milhões de logins do Gmail, 4 milhões do Yahoo, 1,5 milhão do Outlook, 900 mil do iCloud e 1,4 milhão de endereços “.edu”. Além disso, ele identificou 17 milhões de contas do Facebook, 6,5 milhões do Instagram e 3,4 milhões do Netflix.
O pesquisador notificou o provedor de hospedagem responsável pela base, que operava de forma independente. Após quase quatro semanas de tentativas de contato, o acesso ao banco de dados foi suspenso, mas não houve informações sobre quem o gerenciava ou se os dados foram utilizados para fins criminosos.
A exposição de um banco de dados dessa magnitude aumenta o risco de ataques automatizados, como o credential stuffing, onde criminosos testam combinações de e-mail e senha em vários serviços. Isso pode levar a fraudes, roubos de identidade e campanhas de phishing que parecem legítimas.
O pesquisador recomenda que os usuários atualizem seus sistemas operacionais e softwares de segurança, revisem permissões de aplicativos e evitem instalar programas fora de lojas oficiais. Ele sugere o uso de autenticação em duas etapas e a verificação de histórico de login como medidas de segurança adicionais.
Fowler enfatiza que trocas de senha podem não ser suficientes se o dispositivo estiver infectado. Ele também ressalta a importância de boas práticas de higiene digital e a necessidade de proteção contra malware avançado.
O pesquisador não fez download ou reteve os dados expostos, limitando-se a documentar a vulnerabilidade e notificar os responsáveis. As informações foram divulgadas para aumentar a conscientização sobre os riscos da coleta em larga escala de credenciais.
O Olhar Digital contatou as empresas e órgãos mencionados para solicitar posicionamentos oficiais sobre a presença de credenciais associadas a seus serviços. A resposta do Google indicou que a empresa está ciente da situação e monitora continuamente atividades externas, implementando proteções automatizadas para bloquear contas comprometidas.
O texto será atualizado assim que mais informações e posicionamentos forem recebidos das plataformas.
