Um banco de dados com cerca de 149 milhões de senhas expostas na internet foi identificado por um pesquisador de cibersegurança da Ucrânia. A descoberta foi divulgada nesta sexta-feira (23) por Jeremiah Fowler, que detalhou o caso ao serviço de rede privada ExpressVPN. Segundo ele, o material reunia aproximadamente 96 GB de dados brutos, incluindo e-mails, nomes de usuários e senhas de vítimas espalhadas por diversos países, associados a plataformas amplamente utilizadas no dia a dia digital.
De acordo com Fowler, a lista reúne credenciais vinculadas a serviços como Gmail, Facebook, Instagram, Yahoo, Outlook, iCloud, Netflix, TikTok, além de plataformas financeiras, corretoras de investimento, serviços de criptomoedas e até registros relacionados ao “gov.br”, sistema que centraliza o acesso a serviços públicos no Brasil.
O pesquisador afirmou que os dados teriam sido coletados por meio de um “infostealer”, tipo de malware projetado para infectar computadores e capturar informações sensíveis armazenadas nos dispositivos dos usuários. Ele destacou que não foi possível identificar quem criou ou administrava o banco de dados, o que o levou a alertar o provedor de hospedagem responsável.
Segundo o relato, o provedor informou que o sistema estava sob responsabilidade de uma empresa subsidiária que operava de forma independente.
Após cerca de um mês e várias tentativas de contato, o banco de dados acabou sendo retirado do ar, tornando as senhas inacessíveis. Fowler ressaltou que “não se sabe se o banco de dados foi usado para atividades criminosas, se as informações foram coletadas para fins legítimos de pesquisa, nem como ou por que o banco de dados foi divulgado publicamente”.
Entre os dados expostos, o pesquisador estimou cerca de 48 milhões de registros ligados ao Gmail, 4 milhões ao Yahoo, 1,5 milhão ao Outlook, 900 mil ao iCloud e 1,4 milhão de endereços com final “.edu”.
Em redes sociais e plataformas de entretenimento, foram identificadas aproximadamente 17 milhões de contas do Facebook, 6,5 milhões do Instagram, 3,4 milhões da Netflix, 780 mil do TikTok e 100 mil do OnlyFans, além de 420 mil registros ligados à Binance. Fowler também mencionou a presença de dados associados a serviços como HBO Max, Disney Plus e Roblox, além de sistemas financeiros.
Em nota enviada ao G1, o Google afirmou estar ciente “de relatos sobre um conjunto de dados contendo uma variedade de credenciais, incluindo algumas do Gmail”, e declarou que as informações são “uma compilação de logins de ‘infostealer’ – credenciais coletadas de dispositivos pessoais por malware de terceiros – que foram agregadas ao longo do tempo”.
A empresa acrescentou que “monitoramos continuamente esse tipo de atividade externa e temos proteções automatizadas em vigor que bloqueiam contas e forçam a redefinição de senha quando identificamos credenciais expostas”.
O Ministério da Gestão, responsável pelo gov.br, também negou qualquer indício de invasão ou vazamento direto na plataforma, reforçando a orientação para que usuários não compartilhem senhas e ativem a verificação em duas etapas. A Apple, responsável pelo iCloud, informou que não comentaria o caso até o momento.