A exposição pública de 184 milhões de credenciais de acesso (nomes de usuário e senhas) foi revelada pelo pesquisador de segurança Jeremiah Fowler, que descobriu o banco de dados e compartilhou as informações com o WebsitePlanet. Trata-se de um banco de dados que estava acessível publicamente, sem qualquer tipo de proteção, e que continha um total de 47,42 gigabytes de informações de usuários e contas do mundo todo.

Segundo Fowler, é possível que esse banco de dados seja resultado da coleta de informações realizada por infostealers (malwares voltados ao roubo de dados).

O que continha o banco de dados exposto publicamente

Os serviços afetados foram variados e, para se ter uma ideia da magnitude do vazamento, os registros desprotegidos e tornados públicos incluíam dados de diversos provedores de e-mail, além de produtos da Apple, Google, Facebook, Instagram, Snapchat, Roblox, entre outros.

O pesquisador também revelou que foram encontradas credenciais de acesso a bancos e outras instituições financeiras, plataformas de serviços de saúde e portais de órgãos governamentais de vários países, como o Brasil. Uma colagem de capturas de tela, publicada em uma postagem do Website Planeta, revela contas possivelmente comprometidas com credenciais de domínios governamentais (.gov). Entre os exemplos expostos estão registros relacionados a órgãos da Austrália, Irã, Índia, Romênia e Brasil, indicando uma abrangência internacional do vazamento.

captura
Imagem: Sites de órgãos do governo brasileiro estão entre as páginas expostas. Fonte: Website Planeta.

Ainda não se sabe se o banco de dados foi utilizado para atividades criminosas ou se as informações foram coletadas com fins legítimos de pesquisa e, posteriormente, expostas por descuido. Também não há informações sobre quanto tempo os dados permaneceram acessíveis ou se outras pessoas chegaram a acessá-los.

Possível atividade de infostealer

Segundo o próprio pesquisador, é provável que as informações expostas tenham sido coletadas por meio de malwares do tipo infostealer, desenvolvidos especificamente para infectar sistemas e roubar dados sensíveis, geralmente credenciais de acesso, como e-mails e senhas. Isso indica que a exposição não teria ocorrido por uma invasão direta ou falhas nos sistemas dos serviços afetados.

O site Mashable, por exemplo, entrou em contato com algumas das plataformas envolvidas. O Snapchat informou que não encontrou nenhuma vulnerabilidade em sua rede, o que reforça a teoria apresentada pelo pesquisador.

Embora a origem exata desses dados ainda não esteja totalmente clara, este é um bom momento para reforçar a importância de estar atento a esse tipo de malware, que está em ascensão e representa uma ameaça silenciosa. O ESET Threat Report do segundo semestre do ano passado já havia apontado um aumento na atividade desse tipo de ameaça.

"Essa recente exposição reforça, mais uma vez, como é fácil que milhões de dados sensíveis, incluindo e-mails e senhas, sejam acessados por programas projetados para roubar informações", afirma Jake Moore, Global Security Advisor da ESET.

A quais riscos os usuários estão expostos?

  • Ataques de credential stuffing (preenchimento de credenciais): Se você costuma usar a mesma senha em várias contas e uma delas for vazada, cibercriminosos podem explorar essa brecha. Essa técnica consiste em testar combinações de nomes de usuário e senhas em diferentes sites até obter acesso.
  • Controle da sua conta: Se criminosos tiverem acesso ao seu nome de usuário e senha, podem facilmente assumir o controle da sua conta e cometer fraudes em seu nome. Além disso, podem acessar uma infinidade de documentos pessoais armazenados, especialmente em contas de e-mail. Essas informações também podem ser utilizadas para criar campanhas de phishing e engenharia social ainda mais sofisticadas.
  • Uso da conta de e-mail como armazenamento na nuvem: Guardar documentos sensíveis, como declarações fiscais, históricos médicos, contratos e até senhas, na conta de e-mail pode ser um grande risco. Se alguém obtiver acesso à conta, ou ela for comprometida em um vazamento, todos esses dados ficam expostos.
  • Ataques de ransomware ou espionagem: Contas corporativas vulneráveis podem servir de porta de entrada para malwares como o ransomware. Além disso, assim como no caso anterior, invasores podem acessar informações valiosas armazenadas no servidor de e-mail da empresa.

Como atuam os infostealers

Esse tipo de malware costuma ter como alvo credenciais, como nomes de usuário e senhas, armazenadas em navegadores, clientes de e-mail e aplicativos de mensagens. Algumas variantes também são capazes de roubar dados de preenchimento automático, cookies e informações de carteiras de criptomoedas, e, em certos casos, até capturar capturas de tela ou registrar as teclas digitadas (keylogging).

Geralmente, os infostealers se escondem em e-mails de phishing, sites maliciosos ou softwares piratas. Uma vez ativos, os dados coletados costumam ser vendidos em mercados da dark web, compartilhados em canais do Telegram ou usados diretamente para fraudes, tentativas de roubo de identidade ou novos ataques cibernéticos.

Com os dados em mãos, os cibercriminosos podem utilizar técnicas de força bruta, como o credential stuffing, para invadir contas on-line protegidas com medidas mínimas de segurança.

Por isso, recomenda-se aos usuários que ativem a autenticação multifator (MFA) em todas as suas contas e evitem reutilizar senhas entre diferentes serviços.

Como se proteger

Em um cenário de ataques cibernéticos cada vez mais sofisticados, que exigem atenção constante e atualização sobre suas táticas, ainda existem medidas simples e eficazes que podemos (e devemos) adotar com frequência. Reforçar essas práticas é fundamental:

  • Ative a autenticação em dois fatores (2FA): Essa camada extra de segurança funciona como uma barreira eficaz, impedindo que, mesmo que sua senha seja comprometida, terceiros consigam acessar sua conta sem autorização.
  • Verifique se suas credenciais foram expostas: Serviços como o Have I Been Pwned permitem checar se seu e-mail foi envolvido em vazamentos de dados conhecidos.
  • Monitore a atividade das suas contas e ative alertas: Muitas plataformas oferecem notificações de login suspeito ou permitem visualizar de quais dispositivos e localidades houve acesso à conta.
  • Use um gerenciador de senhas: Além de armazenar suas senhas com segurança, esses aplicativos ajudam a criar senhas fortes e únicas, promovendo melhores hábitos de segurança digital.
  • Instale uma solução antimalware confiável: Um antivírus atualizado pode detectar e remover ameaças como infostealers. Soluções mais avançadas, como EDR (detecção e resposta em endpoints), são capazes de identificar comportamentos anômalos no sistema e responder rapidamente a ameaças.