Um banco de dados Elasticsearch exposto publicamente continha 24 bilhões de registros de credenciais roubadas — senhas em texto claro, endereços de e-mail e URLs de login — acumulados a partir de logs de infostealer, canais do Telegram e compilações de vazamentos anteriores. A descoberta foi feita pelo Cybernews em 12 de junho de 2026; o cluster foi retirado do ar três dias depois, mas os dados continuam em circulação no ecossistema criminoso.
O que foi encontrado
Os pesquisadores do Cybernews identificaram um cluster Elasticsearch sem autenticação, hospedando mais de 8,3 TB de dados distribuídos em 36 fontes distintas. A maior fatia — 22,6 bilhões de registros — estava classificada sob o rótulo genérico “collections”, indicando que os dados podem provenir de diversas compilações de infostealer já vazadas ou agrupadas por serviço-alvo.
Outros 1,7 bilhão de registros vieram de canais do Telegram envolvidos em cybercrime, a maioria em inglês e russo. Quase 260 milhões desses registros estavam associados a canais com o nome “Darkside” — o mesmo grupo de ransomware que interrompeu a Colonial Pipeline em 2021. Mais 150 milhões receberam a etiqueta “local database dumps”, indicando exportação direta de servidores ativos, e 146 milhões provinham de uma “breach compilation combo”, um reagrupamento de vazamentos antigos aproveitando o fato de que vítimas raramente trocam senhas.
Entre os registros, os pesquisadores também encontraram documentos incomuns: cerca de 17 mil entradas contendo identificadores de CVE com links para repositórios do GitHub, 5,2 mil logs de notícias sobre vazamentos recentes e quase 2,9 mil registros de postagens em redes sociais sobre incidentes de segurança. Um dos artigos incluídos no conjunto de dados foi publicado em fevereiro de 2026, indicando que o responsável pela base mantinha o acervo atualizado em tempo real.
Como os infostealers geram esse volume
A escala desse vazamento não resulta de um único ataque a uma empresa. Cada registro representa um dispositivo individual — um computador doméstico, um laptop corporativo — silenciosamente comprometido por malware da categoria infostealer.
Infostealers operam sob o modelo de malware-como-serviço (MaaS). Desenvolvedores criam a infraestrutura; operadores pagam assinaturas mensais que variam de US$ 130 a US$ 750 para implantar o malware e receber os logs de credenciais extraídas. Famílias conhecidas incluem RedLine, Vidar, LummaC2 e StealC. A infecção ocorre em segundos — por e-mails de phishing, atualizações falsas de navegador, anúncios maliciosos ou software pirata — e o malware varre todos os navegadores instalados na máquina, copiando senhas salvas, cookies de sessão ativos, tokens de autenticação e, em alguns casos, carteiras de criptomoedas.
O resultado é uma avalanche contínua de registros que alimenta mercados clandestinos, serviços de credenciais e operações de credential stuffing.
Riscos e detalhes do vazamento
O elemento mais preocupante da descoberta é a combinação de credenciais roubadas com dados de vulnerabilidades ativas. Os aproximadamente 9,5 mil documentos com identificadores CVE ligados a repositórios do GitHub sugerem que o mantenedor do banco de dados não apenas armazenava credenciais, mas construía um pipeline de priorização de ataques — cruzando senhas roubadas com sistemas não corrigidos para identificar alvos exploráveis.
| Fonte dos registros | Volume | Descrição |
|---|---|---|
| “Collections” | 22,6 bilhões | Compilações de infostealer e vazamentos anteriores |
| Canais do Telegram | 1,7 bilhão | Canais de cybercrime em inglês e russo |
| Canais “Darkside” | 260 milhões | Vinculados ao grupo de ransomware Darkside |
| Local database dumps | 150 milhões | Exportações diretas de servidores ativos |
| Breach compilation combo | 146 milhões | Reagrupamento de vazamentos antigos |
| CVE + GitHub links | ~17 mil | Dados de vulnerabilidades para priorização de ataques |
A base foi identificada como pertencente a uma empresa de inteligência de ameaças, cujo nome não foi divulgado. Duas interpretações são possíveis: um serviço comercial de monitoramento de credenciais construído para fins defensivos, ou um ator de ameaças montando inteligência de alvos para uso ofensivo. Independentemente da intenção, a má configuração do Elasticsearch expôs tudo a qualquer pessoa que encontrasse o cluster.
Cronologia do incidente
- 12 de junho de 2026 — Pesquisadores do Cybernews identificam o cluster Elasticsearch exposto com 24 bilhões de registros.
- 15 de junho de 2026 — O banco de dados é retirado do ar. No mesmo dia, o Have I Been Pwned adiciona 56,3 milhões de e-mails e 124 milhões de senhas de infostealers ao seu banco pesquisável.
- 17 de junho de 2026 — Malwarebytes publica análise detalhada do vazamento e recomendações para usuários.
- 19 de junho de 2026 — Security Affairs reporta que a base pertence a uma empresa de inteligência de ameaças não identificada.
- 20 de junho de 2026 — TechTimes destaca o cruzamento de credenciais com dados de CVE como evidência de um pipeline de ataque ativo.
O que fazer agora
A remoção do cluster do ar em 15 de junho não protege ninguém cujas credenciais já estavam na base — os dados foram copiados e redistribuídos no ecossistema criminoso antes da descoberta. No mesmo dia, o serviço Have I Been Pwned adicionou 56,3 milhões de endereços de e-mail e 124 milhões de senhas únicas de logs de infostealer ao seu banco de dados pesquisável.
Para usuários, as medidas imediatas são: verificar se seus endereços de e-mail aparecem em serviços como Have I Been Pwned ou o Digital Footprint Portal do Malwarebytes; trocar senhas em contas prioritárias — e-mail, banco, compras e redes sociais — garantindo que nenhuma senha seja reutilizada; e ativar autenticação multifator (MFA) em todos os serviços que suportam, já que cookies de sessão roubados por infostealers podem burlar MFA em alguns cenários.
Infostealers se propagam por anúncios maliciosos, atualizações falsas de navegador e downloads de um clique. Evitar clicar em anúncios patrocinados, visitar sites oficiais diretamente e nunca executar comandos copiados de páginas não verificadas reduz significativamente o risco de infecção.