Um vazamento de 16 bilhões de credenciais foi descoberto em 30 bases de dados desprotegidas na internet — o maior registro já identificado em volume de senhas expostas. Os dados incluem logins e senhas de serviços como Google, Apple, Meta, Microsoft, GitHub, Amazon e plataformas governamentais de 29 países. A descoberta foi feita pelos pesquisadores Bob Diachenko e Aras Nazarovas da Cybernews.
Não se trata de um único ataque a um sistema central. É uma compilação massiva construída ao longo de anos por malwares do tipo infostealer, que roubam dados diretamente dos dispositivos infectados — navegadores, cookies, credenciais salvas, dados de preenchimento automático. Segundo a ESET, o material estava acessível sem qualquer autenticação por um período desconhecido antes que os pesquisadores o identificassem em meados de junho de 2025.
O número é impressionante: mais que o dobro da população mundial. A Forbes Brasil classificou o vazamento como um “detonador silencioso” — sem anúncio oficial, sem pedido de resgate, sem empresa nomeada como vítima. Um acúmulo que passou anos crescendo nas sombras.
O que são infostealers
Infostealers são programas maliciosos desenhados para extrair dados sensíveis de máquinas comprometidas. Diferente do ransomware, que bloqueia arquivos e exige pagamento, o infostealer opera em silêncio. Captura senhas salvas no navegador, cookies de sessão, tokens de autenticação, dados de cartões e credenciais preenchidas automaticamente. Depois, envia tudo para servidores controlados por cibercriminosos.
A infecção costuma ocorrer por campanhas de phishing, downloads de softwares piratas ou sites falsos. Uma vez no dispositivo, o malware se integra ao sistema e começa a coleta contínua. Esse material é agregado, classificado e vendido em fóruns da dark web ou armazenado em bases desprotegidas — como no caso descoberto pela Cybernews.
Como já abordamos no artigo sobre como infostealers tornaram o MFA insuficiente, o roubo de sessão por esses malwares é uma ameaça que cresce exponencialmente e quebra a premissa de que autenticação em dois fatores basta para proteger uma conta.
Como funcionou o vazamento
O caminho até a descoberta começou em maio de 2025, quando o pesquisador Jeremiah Fowler encontrou uma base Elasticsearch desprotegida com 184 milhões de credenciais em texto puro. Isso serviu de pista inicial para a equipe da Cybernews.
Escaneando repositórios na internet, Diachenko e Nazarovas encontraram 30 conjuntos de dados distintos, cada um contendo milhões a bilhões de registros. Os dados seguiam um formato estruturado: URL do serviço, nome de usuário e senha. Parte dos registros incluía tokens de sessão ativos, dados de preenchimento automático com nome, e-mail e, em alguns casos, informações de cartão de crédito.
A Netlas detalhou que as bases estavam hospedadas em instâncias de Elasticsearch sem autenticação — um erro de configuração comum, mas devastador quando o conteúdo tem essa magnitude. Especialistas da Rapid7 e do SANS esclareceram que não houve um mega-breach único. Trata-se de uma compilação que mistura logs recentes de infostealers com dados acumulados de vazamentos anteriores.
Quais plataformas aparecem nos dados
Os registros cobrem uma ampla gama de serviços. Entre os identificados estão:
- Google Workspace, Apple ID e Microsoft 365
- Meta (Facebook, Instagram, WhatsApp)
- GitHub, Amazon, Netflix
- Plataformas bancárias, governamentais e educacionais
- Portais de serviços públicos de 29 países
É fundamental entender que Google, Apple e Meta não foram invadidos diretamente. As credenciais foram coletadas uma a uma nos dispositivos dos usuários, ao longo de anos, por malwares instalados nesses computadores. A responsabilidade da exposição não recai sobre as plataformas, mas sim sobre a segurança dos endpoints — os próprios dispositivos das vítimas.
Risco real para brasileiros
O Brasil é um dos países mais afetados por infostealers na América Latina. Operações como o grupo chinês que desviou e-mails corporativos demonstram que ataques direcionados a credenciais brasileiras são frequentes e sofisticados.
Com 16 bilhões de credenciais circulando, o risco imediato para o usuário brasileiro se materializa em três vetores principais:
| Tipo de ataque | Como funciona | Dano potencial |
|---|---|---|
| Credential stuffing | Testa credenciais vazadas em dezenas de serviços automaticamente | Acesso a múltiplas contas com uma única senha reutilizada |
| Account takeover | Usa senhas ou tokens de sessão válidos para entrar na conta | Transações financeiras, roubo de dados e perda de controle total |
| Spear phishing | Monta mensagens personalizadas com dados reais da vítima | Roubo de credenciais adicionais e fraude financeira avançada |
Ferramentas de brute-force como o Medusa aceleram o credential stuffing drasticamente, testando milhares de combinações por segundo em APIs de login. Já o spear phishing se tornou mais perigoso porque o atacante conhece detalhes como seu nome, e-mail e serviços utilizados — informação suficiente para enganar até usuários experientes.
O que fazer agora
Verifique se seus dados estão comprometidos usando serviços como Have I Been Pwned ou o monitor de vazamentos da ESET. Se encontrar suas credenciais, mude a senha imediatamente em todos os serviços onde ela foi usada.
Ative autenticação em dois fatores (2FA) em todas as contas possíveis. Prefira aplicativos autenticadores (Google Authenticator, Authy) ou chaves de segurança física (YubiKey) em vez de SMS, que pode ser interceptado. Como explicamos no guia prático de senhas e autenticação multifator, 2FA é a barreira mais acessível contra roubo de credenciais.
Adote um gerenciador de senhas (Bitwarden, 1Password, KeePass). Senhas reutilizadas são o problema central que magnifica qualquer vazamento. Se cada conta tem uma senha única, um vazamento em um serviço não compromete os demais.
Monitore suas contas financeiras e e-mails. Fique atento a tentativas de login suspeitas e mensagens pedindo dados pessoais. Nenhuma empresa legítima solicita sua senha por telefone, e-mail ou chat.
O que isso revela
O vazamento de 16 bilhões de credenciais expõe a fragilidade estrutural do modelo de segurança baseado apenas em senhas. Quando malwares como infostealers operam em escala industrial, coletando dados de centenas de milhões de dispositivos ao longo de anos, o resultado é uma bomba-relógio que explode quando alguém deixa uma base de dados sem senha — literalmente.
Não há software que impeça um usuário de clicar em um link de phishing ou instalar um programa pirata. A defesa começa com hábitos: senhas únicas, 2FA ativo, gerenciadores de credenciais e desconfiança saudável. O vazamento já aconteceu. A questão é se sua conta será a próxima a ser explorada.
Referências
- Netlas — The Largest Data Breach Ever? How Hackers Stole 16 Billion Credentials
- ESET WeLiveSecurity — 16 bilhões de credenciais vazadas: o que esse número revela?
- Forbes Brasil — Vazamento expõe 16 bilhões de senhas e acende alerta global
- Cybernews — 16 Billion Passwords Exposed in Colossal Data Breach
- Strobes — Top 6 Data Breaches in June 2025 That Made Headlines