Megavazamento – Quase 2 bilhões de endereços de e-mail e 1,3 bilhão de senhas foram expostos em 2025, segundo o pesquisador de cibersegurança Troy Hunt, criador do site Have I Been Pwned (HIBP). O levantamento revelou que 625 milhões dessas senhas nunca haviam sido registradas anteriormente no sistema, o maior volume de dados já processado pela plataforma.
De acordo com Hunt, as informações fazem parte de grandes listas de credential stuffing, coleções de e-mails e senhas extraídas de vazamentos anteriores. Esses pacotes são amplamente compartilhados e vendidos entre cibercriminosos, que os utilizam para tentar invadir contas de usuários. Todos os registros já estão disponíveis para consulta no HIBP.
LEIA: Entenda impactos da Reforma Administrativa nas empresas públicas de TI
Diferença entre stealer logs e credential stuffing
Na semana passada, o TecMundo noticiou outro grande vazamento, com mais de 180 milhões de endereços de e-mail e senhas, a maioria pertencente a usuários do Gmail. O incidente, entretanto, não teve relação com falhas no Google. Os dados, fornecidos pela empresa de inteligência de ameaças Synthient, vieram de stealer logs, malwares instalados em dispositivos infectados que capturam informações sensíveis.
O novo lote, por outro lado, é formado por dados de credential stuffing: combinações de e-mail e senha obtidas de vazamentos antigos, reorganizadas, revendidas e reutilizadas por criminosos. O risco é ampliado pela prática comum de reutilizar senhas. “É literalmente ter as chaves do castelo”, resumiu Hunt. Uma única combinação vazada pode permitir o acesso a várias contas da mesma pessoa, de redes sociais a sites de compras.
Teste de veracidade
Para confirmar a autenticidade do material, Hunt começou investigando suas próprias informações. Ele encontrou uma senha antiga de uso pessoal e outras que não reconheceu, inclusive associadas a um endereço IP de Perth, na Austrália. Entre os assinantes do HIBP, o padrão se repetiu: senhas antigas confirmadas e, em alguns casos, ainda em uso ativo.
Um dos exemplos mais curiosos foi o de um usuário que possuía duas senhas expostas, a segunda era apenas a primeira acrescida de dois pontos de exclamação no final, e ainda estava sendo utilizada. Outro assinante encontrou uma senha corporativa de quase uma década atrás e imediatamente notificou o setor de segurança da empresa.
Hunt também destacou um caso mais preocupante: uma senha de oito caracteres com letras maiúsculas, minúsculas, números e símbolos, considerada “forte” segundo os critérios tradicionais, estava ativa e nunca havia aparecido antes no Pwned Passwords. Para o especialista, isso mostra a importância de processar grandes volumes de dados, pois essas credenciais ainda circulam entre criminosos.
Como se proteger
Diante do tamanho e da gravidade do vazamento, Hunt recomenda que todos os usuários tomem medidas preventivas o quanto antes. Entre as principais orientações estão:
• Verificar se seus dados foram comprometidos no site Have I Been Pwned;
• Utilizar um gerenciador de senhas;
• Criar combinações fortes e únicas para cada serviço;
• Adotar passkeys (chaves físicas que substituem senhas tradicionais);
• Ativar a autenticação multifator.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/EyeEm)
