Brasil atingido em vazamento de 16 bilhões de senhas do Google, Apple e Meta
Uma coleção massiva de credenciais foi vazada na internet, que expôs mais de 16 bilhões de emails e senhas de usuários de serviços do Google, Apple e Meta. De acordo com os pesquisadores da Cybernews, os dados provavelmente foram recolhidos ao longo do tempo por infostealers. Ao que tudo indica, este seria o maior vazamento de dados de toda a história.
Vilius Petkauskas, editor do Cybernews, comenta que sua equipe analisa a coleção desde o começo de 2025. “Descobriram 30 conjuntos de dados expostos contendo de dezenas de milhões a mais de 3,5 bilhões de registros cada. No total, descobrimos um número inimaginável de 16 bilhões de registros”, afirma.
Vazamentos do tipo são reportados corriqueiramente. O curioso, no caso, é a reiteração de que as bases de dados encontradas agora nunca foram relatadas.
Os conjuntos de dados são formados por registros de infostealers, credential stuffing e vazamentos antigos
Um dos pesquisadores envolvidos na descoberta alega que “isso não é apenas um vazamento: é um plano para exploração em massa. Com mais de 16 bilhões de registros de login expostos, os cibercriminosos agora têm acesso sem precedentes a credenciais de pessoas físicas que podem ser usadas para invasão de contas, roubo de identidade e phishing direcionado”.
Ainda não está claro o nível de detalhes no vazamento, quem teve acesso, onde foi divulgado e a data relacionada aos logins. O TecMundo também não obteve mais informações sobre o caso nem recebeu amostras para avaliação interna. Buscamos o contato para uma avaliação interna do vazamento.
Apesar do alarme e de pesquisadores reconhecidos envolvidos no vazamento, é notório que vazamentos de dados massivos costumam ser recheados com dados antigos. Às vezes, em sua totalidade. Não é possível clarificar esta questão no vazamento atual.
Sobre isso, o veículo envolvido comenta: “O que é especialmente preocupante é a estrutura e a atualidade desses conjuntos de dados – não se trata apenas de vazamentos antigos sendo reciclados. Trata-se de inteligência nova e que pode ser usada para atacar em escala”.
Leia também: Novo vírus Crocodilus ataca Brasil e tem bancos como alvos
Como aconteceu o maior vazamento de senhas da história?
Os pesquisadores da Cybernews afirmam que os conjuntos de dados são formados por registros de infostealers, credential stuffing e vazamentos antigos reestruturados.
Infostealers são malwares: um tipo de vírus que quando entra no computador ou smartphone tem a capacidade de roubar emails e senhas. Dependendo do nível de sofistação, conseguem captar prints de tela e o que é digitado no tecladoCredential stuffing é um método: ataque automatizado e escalável que usa bots para testar uma quantidade alta de credenciais roubadas em sites diversos. Roubam de sua senha de um lugar para testar o acesso em outro
Sobre a quantidade de cidadãos expostos ou o número de contas únicas presentes, os pesquisadores também afirmaram que não tiveram a capacidade de chegar nesses números: “Não há como comparar os dados entre diferentes conjuntos de dados de modo efetivo, mas é seguro afirmar que há registros sobrepostos. Em outras palavras, é impossível dizer quantas pessoas ou contas foram realmente expostas”, alegam.
Um dos únicos detalhes revelados toca na estruturação do vazamento, o que indica o recolhimento via malware: URL (domínio de internet), login (email ou nome de usuário) e senha.
Quem está envolvido no vazamento?
Até o momento, os pesquisadores indicaram que o vazamento envolve usuários de empresas como Google, Apple, Facebook, GitHub, Telegram e serviços governamentais — os quais não foram indicados.
O Brasil, provavelmente, é um dos países mais atingidos pelo vazamento.
“Os conjuntos de dados descobertos pela equipe variam bastante. Por exemplo, o menor, que leva o nome de um software malicioso, continha mais de 16 milhões de registros. Já o maior, provavelmente relacionado à população de língua portuguesa, continha mais de 3,5 bilhões de registros. Em média, um conjunto de dados com credenciais expostas continha 550 milhões de registros”, afirmam.
Sobre o responsável pelo vazamento, o Cybernews também não tem uma resposta.
“Embora pesquisadores de segurança possam compilar dados para verificar e monitorar vazamentos, é praticamente garantido que alguns dos conjuntos de dados vazados pertenciam a cibercriminosos. Os cibercriminosos adoram conjuntos de dados massivos, pois coleções agregadas permitem que eles escalem vários tipos de ataques, como roubo de identidade, esquemas de phishing e acesso não autorizado.
O que você precisa fazer agora para se proteger
Seria alarmante demais dizer que todos os usuários de Google, Apple, Meta, GitHub e Telegram são obrigados a substituírem suas senhas agora mesmo. Contudo, você precisa garantir alguns passos a partir de agora. Vamos comentar:
Ative o segundo fator de autenticação em todas as suas contas: o 2FA é a principal barreira contra vazamentos. Não use o SMS para isso, mas sim um aplicativo terceiro. Existem diversos guias na internet sobre issoNão reutilize senhas: você precisa garantir que não está usando a mesma senha em serviços diferentes. Se isso acontece, troque agoraUse gerenciadores de senhas para auxiliar no processoUse um bom antivírus em seus dispositivosTroque suas senhas regularmente, com mais de 12 caracteres e a inclusão de caracteres especiaisFique ligado em mensagens especiais que chegam até você em emails, SMS e apps. Desconfie de promoções, compras realizadas, pagamentos a serem feitos etcSe há uma dúvida, seja pró-ativo: entre em contato com serviços e pessoas de modo direto