Gmail, Instagram e gov.br: pesquisador encontra 149 milhões de senhas expostas

Olhar Digital

3 horas atrás

Um pesquisador de cibersegurança afirmou ter identificado um banco de dados público com 149 milhões de logins e senhas expostos na internet, envolvendo contas de redes sociais, serviços de streaming, plataformas financeiras e até registros vinculados ao gov.br. A descoberta foi compartilhada por Jeremiah Fowler com a ExpressVPN, que publicou o relatório para alertar sobre os riscos de segurança digital.

Segundo Fowler, o material não estava protegido por senha nem criptografado e somava 96 GB de dados brutos, incluindo e-mails, nomes de usuário, senhas e links de acesso a contas. O pesquisador diz que a base poderia ser acessada por qualquer pessoa que encontrasse o endereço do servidor, o que ampliava o potencial de uso indevido das informações.

Banco de dados localizado por pesquisador tem mais de 96 GB e carrega quase 150 milhões de arquivos (Imagem: Jeremiah Fowler / ExpressVPN)

Como o banco de dados foi encontrado

Fowler relatou que o banco de dados estava publicamente acessível e não trazia qualquer identificação sobre quem o administrava. Em uma amostra limitada dos arquivos, ele encontrou milhares de registros contendo credenciais completas e os endereços das páginas de login dos serviços associados.

De acordo com o pesquisador, os dados teriam sido reunidos por meio de um tipo de malware conhecido como “infostealer”, desenvolvido para infectar dispositivos e coletar silenciosamente informações de acesso. Ele afirma que esse tipo de programa costuma enviar as credenciais roubadas para repositórios em nuvem, que acabam se tornando alvos de novas exposições quando configurados de forma inadequada.

Serviços e tipos de contas atingidos

A lista reunia registros de usuários de diversas plataformas populares. Entre as redes sociais e serviços de entretenimento citados por Fowler estão Facebook, Instagram, TikTok, Netflix, HBO Max, Disney+ e Roblox. Ele também identificou contas de OnlyFans, além de acessos ligados a serviços financeiros, carteiras de criptomoedas, bancos e cartões de crédito.

Um dos pontos que mais chamou a atenção do pesquisador foi a presença de credenciais associadas a domínios “.gov” de vários países. Segundo ele, mesmo acessos limitados podem representar riscos, como uso em tentativas de spear phishing, falsificação de identidade ou possíveis portas de entrada para redes governamentais.

Estimativa de volumes por plataforma

Fowler divulgou uma estimativa do número de registros ligados a alguns provedores de e-mail e serviços online. Entre os e-mails, a base incluía aproximadamente:

Gmail: 48 milhões
Yahoo: 4 milhões
Outlook: 1,5 milhão
iCloud: 900 mil
Endereços “.edu”: 1,4 milhão

Outros serviços destacados pelo pesquisador foram:

Facebook: 17 milhões
Instagram: 6,5 milhões
Netflix: 3,4 milhões
TikTok: 780 mil
Binance: 420 mil
OnlyFans: 100 mil

Ele também publicou capturas de tela que mostram registros envolvendo contas do Google, do Instagram, do Facebook e até um exemplo de conta governamental do Brasil, além de um painel que permitia pesquisar os dados diretamente por meio de um navegador.

Captura de tela de contas e credenciais, incluindo Facebook, uma conta governamental do Brasil e um login administrativo do WordPress (Imagem: Jeremiah Fowler / ExpressVPN)

Remoção do conteúdo e falta de responsáveis

Sem encontrar informações sobre o proprietário da base, Fowler informou ter notificado o provedor de hospedagem por meio do canal de denúncia. Dias depois, recebeu a resposta de que o sistema era mantido por uma empresa subsidiária que operava de forma independente.

Segundo o pesquisador, foram necessárias quase quatro semanas e várias tentativas de contato até que o acesso fosse suspenso e as credenciais deixassem de estar disponíveis. O provedor não teria revelado quem gerenciava o banco de dados, nem se o material havia sido usado para fins criminosos ou de pesquisa. Fowler acrescentou que, durante o período em que a base permaneceu online, o número de registros continuou aumentando.

Riscos para usuários e privacidade

A exposição de uma base desse tamanho, segundo o pesquisador, amplia o risco de ataques automatizados, como o chamado credential stuffing, em que criminosos testam combinações de e-mail e senha em diversos serviços. Com isso, cresce a chance de fraudes, roubos de identidade e campanhas de phishing que parecem legítimas por citarem contas reais.

Fowler também destacou impactos na privacidade, já que a associação entre endereços de e-mail e serviços usados pode permitir a criação de perfis detalhados sobre vítimas. Em casos de acesso não autorizado, isso pode levar a situações como extorsão, exposição de conversas privadas ou uso indevido de informações pessoais.

Recomendações de segurança

O pesquisador afirma que apenas trocar a senha pode não ser suficiente se o dispositivo estiver infectado por malware. Ele recomenda manter sistemas operacionais e softwares de segurança atualizados, revisar permissões de aplicativos e extensões de navegador e evitar a instalação de programas fora de lojas oficiais.

Entre as medidas citadas estão o uso de autenticação em duas etapas, a verificação de histórico de login e a prática de não reutilizar senhas em serviços diferentes. Fowler observa que gerenciadores de senhas podem ajudar contra ataques mais simples, mas não substituem a necessidade de proteção contra malwares mais avançados.

Autenticação em duas etapas é uma das medidas de segurança citadas (Imagem: tete_escape / Shutterstock.com)

Leia mais:

Fowler afirmou que não fez download nem reteve os dados expostos e que sua atuação se limitou a documentar a vulnerabilidade e comunicar os responsáveis. Ele ressalta que as informações foram publicadas com fins educacionais, para ampliar a conscientização sobre os riscos da coleta em larga escala de credenciais e a importância de boas práticas de higiene digital.

O pesquisador também declarou que não faz acusações contra o provedor de hospedagem ou seus responsáveis e que as situações descritas no relatório são hipotéticas, apresentadas apenas para alertar sobre possíveis consequências da exposição de dados.

O que dizem as plataformas?

O Olhar Digital entrou em contato com as empresas e órgãos citados no relatório para solicitar posicionamento oficial sobre a possível presença de credenciais associadas a seus serviços na base identificada por Jeremiah Fowler. Procuramos Google, Meta, Microsoft, Apple, TikTok, Netflix, Binance, OnlyFans, além do Ministério da Gestão e da Inovação em Serviços Públicos.

Estamos cientes de relatos sobre um conjunto de dados contendo uma variedade de credenciais, incluindo algumas do Gmail. Esses dados representam uma compilação de logins de ‘infostealer’ – credenciais coletadas de dispositivos pessoais por malware de terceiros – que foram agregadas ao longo do tempo. Monitoramos continuamente esse tipo de atividade externa e temos proteções automatizadas em vigor que bloqueiam contas e forçam a redefinição de senha quando identificamos credenciais expostas.

Porta-voz do Google

O texto será atualizado assim que mais posicionamentos forem enviados, com as informações repassadas pelas plataformas e eventuais orientações aos usuários.