Imagine se sua senha do Facebook, Google, Apple ou qualquer outro serviço online estivesse jogada na internet, disponível para qualquer criminoso usar.
Pois é exatamente isso que pode estar acontecendo agora. Um vazamento gigantesco expôs 16 bilhões de senhas, o maior já registrado até hoje.
Essa descoberta foi feita por especialistas em segurança da Cybernews, como Aras Nazarovas e Bob Diachenko, que estão monitorando a internet em busca de brechas e vazamentos de informações.
O que eles encontraram é preocupante, dezenas de conjuntos de dados espalhados pela web, com bilhões de registros, e a maioria deles acessível sem nenhum tipo de proteção por um tempo. Esses dados vazaram de programas maliciosos chamados infostealers.
Eles se infiltram nos computadores das pessoas e roubam dados automaticamente: logins, senhas, cookies (que ajudam a manter a pessoa conectada a um site), e até informações de contas bancárias, documentos e arquivos pessoais.
Segundo os pesquisadores, as informações vazadas seguem um padrão, primeiro vem o endereço do site (como facebook.com), depois o login da pessoa (como o e-mail) e, em seguida, a senha.
Com isso, dá para entender que esses dados permitem acessar quase qualquer serviço online que você imaginar — redes sociais, e-mails, sistemas do governo, aplicativos de mensagens como o Telegram, e até contas de trabalho.
Entre os dados, alguns conjuntos (chamados de "datasets") têm mais de 3,5 bilhões de registros. O menor tem 16 milhões. Em média, cada pacote desses contém cerca de 550 milhões de senhas.
Quando tantas senhas são vazadas, o risco vai além de só alguém entrar na sua conta. Esses dados podem ser usados para:
- Roubo de identidade (se passando por você para abrir contas ou fazer compras)
- Ataques de phishing (mensagens falsas tentando enganar você)
- Sequestro de contas (como e-mails, redes sociais e até banco)
- Invasões em empresas (para roubar documentos ou pedir resgate)
E o pior, muitos desses dados são recentes, o que significa que ainda estão "frescos" e prontos para serem usados por criminosos. Ou seja, não são só vazamentos antigos reaproveitados. É informação nova, que pode ser usada de forma imediata.
Facebook, Google e Apple foram invadidos?
Não exatamente. As senhas que vazaram não vieram diretamente dos sistemas do Facebook, Google ou Apple. Ou seja, não houve uma invasão nesses serviços. O que aconteceu foi que muitas dessas senhas vieram de computadores infectados com infostealers.
E como as pessoas usam esses sites o tempo todo, muitas das senhas coletadas dão acesso a contas desses serviços. Os criminosos não invadiram o Facebook — eles pegaram as senhas de quem usou o Facebook em um computador já comprometido.
Os dados incluem links de login para essas plataformas, o que mostra que sim, contas do Facebook, Google, Apple e outras podem estar no meio dos 16 bilhões vazados.
Como isso foi descoberto?
A equipe da Cybernews passou meses monitorando a internet em busca de informações vazadas. Eles encontraram 30 bases de dados diferentes, que juntas somam 16 bilhões de registros.
Alguns desses arquivos estavam abertos e sem senha em servidores como Elasticsearch, o que facilitou o acesso dos pesquisadores — e também de criminosos.
Os nomes desses arquivos variam: alguns são genéricos, como "logins" ou "credentials", outros dão pistas mais claras, como um dataset com mais de 60 milhões de registros chamado "Telegram", ou outro com mais de 450 milhões de registros indicando origem na Rússia.
O que preocupa é que novos vazamentos desse tipo estão surgindo a cada poucas semanas. Isso mostra como o uso de infostealers se tornou comum entre criminosos.
Essa quantidade absurda de senhas vazadas mostra que muitas empresas não estão cuidando direito dos nossos dados. E, infelizmente, vazamentos desse tipo estão se tornando cada vez mais comuns.
Segundo a Cybernews, o problema não é só o vazamento em si, mas a forma como as empresas lidam com ele. Elas geralmente só tomam alguma atitude quando o caso vira notícia e prejudica a imagem pública.
Como disse um usuário no Reddit, talvez as coisas só mudem de verdade quando essas empresas forem punidas com multas ou processos sempre que deixarem nossos dados expostos. Só assim vão passar a levar a segurança a sério.
Por que infostealers são tão eficientes?
Hoje em dia, os criminosos não precisam mais "forçar" a entrada em sistemas. Eles simplesmente esperam você baixar um programa pirata, um PDF contaminado ou até mesmo um jogo alterado — e pronto, o infostealer se instala no seu computador e começa a roubar tudo o que puder.
Esse tipo de malware consegue coletar: dados salvos no navegador, logins de e-mail e redes sociais, acessos a VPNs, arquivos salvos no computador e dados de formulários preenchidos. Ou seja, é uma verdadeira varredura do que você tem no PC.
Perguntas comuns sobre o vazamento de 16 bilhões de senhas
1. Os dados foram roubados de um único lugar?
Não. Foram encontrados 30 conjuntos diferentes, cada um com milhões ou bilhões de registros. Não é uma única falha, mas sim uma enorme compilação de informações de várias fontes.
2. Esses dados são todos atuais?
A maioria sim. Embora haja alguns dados antigos, muitos são recentes e perigosos por incluírem cookies e tokens de sessão que permitem entrar nas contas mesmo sem saber a senha.
3. Os 16 bilhões de registros são únicos?
Não dá pra garantir. Há duplicatas, mas mesmo com repetições, o número de pessoas afetadas ainda é muito alto.
4. O que fazer se eu estiver entre os afetados?
Troque suas senhas, ative a verificação em duas etapas, e fique de olho nas suas contas. Use um gerenciador de senhas para facilitar esse processo.
