Gmail, Instagram e gov.br: pesquisador encontra 149 milhões de senhas expostas

· Fonte: Olhar Digital
Gmail, Instagram e gov.br: pesquisador encontra 149 milhões de senhas expostas

Um pesquisador de cibersegurança afirmou ter identificado um banco de dados público com 149 milhões de logins e senhas expostos na internet, envolvendo contas de redes sociais, serviços de streaming, plataformas financeiras e até registros vinculados ao gov.br. A descoberta foi compartilhada por Jeremiah Fowler com a ExpressVPN, que publicou o relatório para alertar sobre os riscos de segurança digital.

Segundo Fowler, o material não estava protegido por senha nem criptografado e somava 96 GB de dados brutos, incluindo e-mails, nomes de usuário, senhas e links de acesso a contas. O pesquisador diz que a base poderia ser acessada por qualquer pessoa que encontrasse o endereço do servidor, o que ampliava o potencial de uso indevido das informações.

Banco de dados localizado por pesquisador tem mais de 96 GB e carrega quase 150 milhões de arquivos (Imagem: Jeremiah Fowler / ExpressVPN)

Como o banco de dados foi encontrado

Fowler relatou que o banco de dados estava publicamente acessível e não trazia qualquer identificação sobre quem o administrava. Em uma amostra limitada dos arquivos, ele encontrou milhares de registros contendo credenciais completas e os endereços das páginas de login dos serviços associados.

De acordo com o pesquisador, os dados teriam sido reunidos por meio de um tipo de malware conhecido como “infostealer”, desenvolvido para infectar dispositivos e coletar silenciosamente informações de acesso. Ele afirma que esse tipo de programa costuma enviar as credenciais roubadas para repositórios em nuvem, que acabam se tornando alvos de novas exposições quando configurados de forma inadequada.

Serviços e tipos de contas atingidos

A lista reunia registros de usuários de diversas plataformas populares. Entre as redes sociais e serviços de entretenimento citados por Fowler estão Facebook, Instagram, TikTok, Netflix, HBO Max, Disney+ e Roblox. Ele também identificou contas de OnlyFans, além de acessos ligados a serviços financeiros, carteiras de criptomoedas, bancos e cartões de crédito.

Um dos pontos que mais chamou a atenção do pesquisador foi a presença de credenciais associadas a domínios “.gov” de vários países. Segundo ele, mesmo acessos limitados podem representar riscos, como uso em tentativas de spear phishing, falsificação de identidade ou possíveis portas de entrada para redes governamentais.

Estimativa de volumes por plataforma

Fowler divulgou uma estimativa do número de registros ligados a alguns provedores de e-mail e serviços online. Entre os e-mails, a base incluía aproximadamente:

  • Gmail: 48 milhões
  • Yahoo: 4 milhões
  • Outlook: 1,5 milhão
  • iCloud: 900 mil
  • Endereços “.edu”: 1,4 milhão

Outros serviços destacados pelo pesquisador foram:

  • Facebook: 17 milhões
  • Instagram: 6,5 milhões
  • Netflix: 3,4 milhões
  • TikTok: 780 mil
  • Binance: 420 mil
  • OnlyFans: 100 mil

Ele também publicou capturas de tela que mostram registros envolvendo contas do Google, do Instagram, do Facebook e até um exemplo de conta governamental do Brasil, além de um painel que permitia pesquisar os dados diretamente por meio de um navegador.

Captura de tela de contas e credenciais, incluindo Facebook, uma conta governamental do Brasil e um login administrativo do WordPress (Imagem: Jeremiah Fowler / ExpressVPN)

Remoção do conteúdo e falta de responsáveis

Sem encontrar informações sobre o proprietário da base, Fowler informou ter notificado o provedor de hospedagem por meio do canal de denúncia. Dias depois, recebeu a resposta de que o sistema era mantido por uma empresa subsidiária que operava de forma independente.

Segundo o pesquisador, foram necessárias quase quatro semanas e várias tentativas de contato até que o acesso fosse suspenso e as credenciais deixassem de estar disponíveis. O provedor não teria revelado quem gerenciava o banco de dados, nem se o material havia sido usado para fins criminosos ou de pesquisa. Fowler acrescentou que, durante o período em que a base permaneceu online, o número de registros continuou aumentando.

Riscos para usuários e privacidade

A exposição de uma base desse tamanho, segundo o pesquisador, amplia o risco de ataques automatizados, como o chamado credential stuffing, em que criminosos testam combinações de e-mail e senha em diversos serviços. Com isso, cresce a chance de fraudes, roubos de identidade e campanhas de phishing que parecem legítimas por citarem contas reais.

Fowler também destacou impactos na privacidade, já que a associação entre endereços de e-mail e serviços usados pode permitir a criação de perfis detalhados sobre vítimas. Em casos de acesso não autorizado, isso pode levar a situações como extorsão, exposição de conversas privadas ou uso indevido de informações pessoais.

Recomendações de segurança

O pesquisador afirma que apenas trocar a senha pode não ser suficiente se o dispositivo estiver infectado por malware. Ele recomenda manter sistemas operacionais e softwares de segurança atualizados, revisar permissões de aplicativos e extensões de navegador e evitar a instalação de programas fora de lojas oficiais.

Entre as medidas citadas estão o uso de autenticação em duas etapas, a verificação de histórico de login e a prática de não reutilizar senhas em serviços diferentes. Fowler observa que gerenciadores de senhas podem ajudar contra ataques mais simples, mas não substituem a necessidade de proteção contra malwares mais avançados.

autenticação em dois fatores
Autenticação em duas etapas é uma das medidas de segurança citadas (Imagem: tete_escape / Shutterstock.com)

Leia mais:

Divulgação com caráter informativo

Fowler afirmou que não fez download nem reteve os dados expostos e que sua atuação se limitou a documentar a vulnerabilidade e comunicar os responsáveis. Ele ressalta que as informações foram publicadas com fins educacionais, para ampliar a conscientização sobre os riscos da coleta em larga escala de credenciais e a importância de boas práticas de higiene digital.

O pesquisador também declarou que não faz acusações contra o provedor de hospedagem ou seus responsáveis e que as situações descritas no relatório são hipotéticas, apresentadas apenas para alertar sobre possíveis consequências da exposição de dados.

O que dizem as plataformas?

O Olhar Digital entrou em contato com as empresas e órgãos citados no relatório para solicitar posicionamento oficial sobre a possível presença de credenciais associadas a seus serviços na base identificada por Jeremiah Fowler. Procuramos Google, Meta, Microsoft, Apple, TikTok, Netflix, Binance, OnlyFans, além do Ministério da Gestão e da Inovação em Serviços Públicos.

O Google enviou o posicionamento a seguir:

Estamos cientes de relatos sobre um conjunto de dados contendo uma variedade de credenciais, incluindo algumas do Gmail. Esses dados representam uma compilação de logins de ‘infostealer’ – credenciais coletadas de dispositivos pessoais por malware de terceiros – que foram agregadas ao longo do tempo. Monitoramos continuamente esse tipo de atividade externa e temos proteções automatizadas em vigor que bloqueiam contas e forçam a redefinição de senha quando identificamos credenciais expostas.

Porta-voz do Google

O Ministério da Gestão e da Inovação em Serviços Públicos encaminhou a seguinte nota ao Olhar Digital:

O Ministério da Gestão e da Inovação em Serviços Públicos (MGI) informa que não há registros de invasões ou de vazamentos na plataforma GOV.BR. Trata-se de uma plataforma segura, robusta e que simplifica a vida dos cidadãos. Atualmente, o GOV.BR possui mais 172 milhões de usuários e possibilita o acesso a mais de 4.600 serviços públicos digitais federais e a outros mais de oito mil serviços de estados e municípios. A plataforma também possui diversas tecnologias e processos de monitoramento diários que permitem a segurança dos ambientes tecnológicos, garantindo a prestação dos serviços e a privacidade dos usuários.

Para evitar casos de roubo da identidade digital (os chamados golpes de engenharia social), o ministério orienta a todos os usuários para não compartilharem a sua senha, que é tão importante quanto uma senha bancária, e que subam o nível da sua conta no GOV.BR para Ouro, que utiliza biometria facial com base nos dados da nova Carteira de Identidade Nacional (CIN) e da Justiça Federal, dificultando a ação de golpistas. O MGI também recomenda que todos os usuários utilizem a ferramenta de Verificação em Duas Etapas, pois se trata de uma funcionalidade importante para evitar golpes de phishing, por exemplo. Outra solução de segurança é a gestão de dispositivos, que possibilita ao usuário identificar o local e o dispositivo utilizado para acessar a conta. 

Caso exista a desconfiança de uma possível fraude, o ministério ressalta a importância do registro de um Boletim de Ocorrência para possibilitar a devida investigação policial. Cabe esclarecer que todas as informações de acessos e atendimentos são registradas na plataforma do governo federal. Esse registro facilita o trabalho das autoridades competentes, servindo como subsídio para as apurações policiais, por meio do compartilhamento do histórico de acessos à plataforma, permitindo a verificação da legitimidade das ações pelas partes envolvidas.

Por fim, os usuários podem utilizar os canais oficiais da pasta para sanar dúvidas sobre a conta no GOV.BR, como o gov.br/atendimento Também é possível ser atendido presencialmente pelo Balcão GOV.BR, os endereços das unidades estão disponíveis no gov.br/presencial.

Ministério da Gestão e da Inovação em Serviços Públicos, em nota

O texto será atualizado assim que mais posicionamentos forem enviados, com as informações repassadas pelas plataformas e eventuais orientações aos usuários.

O post Gmail, Instagram e gov.br: pesquisador encontra 149 milhões de senhas expostas apareceu primeiro em Olhar Digital.