Nas últimas semanas, veio a público a notícia de que uma série de bases de dados, somando 16 bilhões de registros, ficou exposta e acessível, armazenada em repositórios mal configurados que permitiam acesso irrestrito. A exposição foi temporária, mas suficiente para que pesquisadores, ou qualquer pessoa, tivessem acesso às informações. Cada conjunto de dados continha combinações de usuário e senha para serviços como contas do Google, Facebook, Meta, Apple, entre outros.
Segundo a equipe de investigação do Cybernews, que divulgaram a descoberta, os dados expostos teriam sido obtidos por meio de atividades recentes envolvendo malware do tipo infostealer, ataques de credential stuffing e vazamentos antigos. No entanto, sites especializados como o Bleeping Computer afirmam que, na verdade, essa coleção é uma compilação massiva de dados vazados ao longo dos anos.
O que aconteceu?
A equipe de pesquisa do Cybernews descobriu 30 conjuntos de dados estruturados no formato URL | nome de usuário | senha, que provavelmente se originaram de registros gerados por malwares do tipo infostealer.
Esses programas maliciosos costumam se infiltrar por meio de campanhas de phishing, sites de download falsos ou softwares piratas, e são hoje uma das principais ferramentas do cibercrime para facilitar fraudes de identidade, roubo de contas e golpes com criptomoedas.
Os cibercriminosos costumam se infiltrar por meio de campanhas de phishing, sites de download falsos ou softwares piratas, e representam atualmente uma das principais ferramentas do cibercrime para facilitar fraudes de identidade, roubo de contas e golpes envolvendo criptomoedas.
Qual a gravidade desse cenário?
Embora a equipe de pesquisa que teve acesso a essas bases ressalte que os registros vêm de diversas fontes e podem estar duplicados ou conter dados inválidos, mesmo que apenas uma parte deles seja legítima, já representam um risco significativo para os usuários que continuam reutilizando senhas ou que ainda não adotaram a autenticação em dois fatores (2FA).
Esses dados podem ser usados para:
- Credential stuffing: tentativas automatizadas de login usando credenciais vazadas.
- Roubo de contas (Account takeover): acesso não autorizado a contas por meio de senhas ou tokens válidos.
- Phishing direcionado: campanhas personalizadas com dados reais dos usuários.
Embora essa descoberta evidencie os riscos de ter credenciais comprometidas, os ataques de phishing, que tentam induzir o usuário a fornecer ainda mais informações sensíveis, podem se valer de dados parciais coletados pelos cibercriminosos. Com esse tipo de base de dados em mãos, parte do trabalho já está facilitado.
Esses conjuntos de dados permitem escalar ataques, automatizar campanhas de disseminação de malware e assumir o controle de contas que não contam com medidas adicionais de segurança.
Como mencionamos, os infostealers desempenham um papel central nesse cenário, pois são desenvolvidos especificamente para esse propósito: de forma silenciosa, roubam informações sensíveis de dispositivos infectados, como credenciais, cookies de login e dados financeiros.
Quais serviços estão em risco?
Entre os serviços mencionados nos registros estão Google Workspace, Apple ID, Microsoft 365, Meta (Facebook, Instagram, WhatsApp), GitHub, Amazon, Netflix, além de plataformas bancárias, governamentais e educacionais. No entanto, isso não significa que esses serviços tenham sido invadidos diretamente.
Revisar nossa gestão de credenciais
Esse tipo de ocorrência serve como um alerta sobre como dados vazados podem impactar nossa vida digital mesmo muito tempo após a exposição. É um lembrete de que precisamos estar sempre atentos e adotar medidas básicas de cibersegurança na gestão de contas e credenciais de acesso.
Como se manter protegido
Como vimos, as credenciais e informações sensíveis que podem ter sido roubadas circulam na dark web e de forma cada vez mais sistematizada, facilitando sua exploração pelo cibercrime.
Por isso, além de estar sempre atento a tentativas de phishing, golpes e invasões, a gestão cuidadosa de senhas e acessos, tanto em redes pessoais quanto Corporativas, é o primeiro passo para impedir o uso desses dados roubados e tornar obsoletas quaisquer bases de dados de credenciais vazadas.
Por exemplo, você pode:
- Configurar a autenticação multifator (MFA), evitando usar SMS como único fator.
- Adotar passkeys quando o serviço permitir. Passkeys são credenciais baseadas em criptografia assimétrica (WebAuthn/FIDO2) que substituem as senhas tradicionais. Você já pode usá-las em serviços como Google (contas pessoais e empresariais), Apple ID (iOS/macOS), Microsoft (Windows Hello, Azure AD), GitHub, Meta (Facebook, Instagram, WhatsApp) e navegadores como Chrome, Safari e Edge.
- Otimizar a gestão de credenciais e senhas, utilizando gerenciadores que alertem sobre possíveis comprometimentos.
- Utilizar serviços online como HaveIBeenPwned para verificar se suas credenciais foram vazadas.
Conclusão
Essa descoberta não representa uma ameaça nova, mas evidencia a gravidade do problema da reutilização de credenciais e da falta de medidas adicionais de segurança. A sistematização desses dados permite escalar ataques e automatizar campanhas maliciosas.
A adoção de tecnologias como passkeys e autenticação multifator (MFA), aliada a uma gestão proativa das credenciais, é essencial para reduzir o risco de comprometimento das nossas contas.