Uma gigantesca base de dados contendo mais de 184 milhões de logins e senhas foi encontrada aberta e sem qualquer proteção na internet. O achado foi feito pelo pesquisador de segurança Jeremiah Fowler, que classificou o vazamento como um verdadeiro “sonho para cibercriminosos”, devido ao enorme volume e sensibilidade das informações expostas.
Segundo Fowler, o banco de dados estava acessível sem senha ou criptografia, permitindo que qualquer pessoa na web pudesse consultar livremente os registros. Ao todo, foram identificados 47,42 GB de dados brutos, incluindo e-mails, nomes de usuários, senhas em texto simples e links de acesso a diversas plataformas — de serviços financeiros e de saúde até órgãos públicos de vários países.
Vazamento envolve credenciais de Apple ID, Google, PayPal e até portais governamentais
Entre os milhões de registros expostos, foram encontrados logins de serviços extremamente populares como Apple ID, Google, Facebook, Instagram, Microsoft, PayPal e até de portais bancários e governamentais. A lista também inclui credenciais de plataformas como Amazon, Discord, Snapchat, Twitter, WordPress e Yahoo.
O volume é tão expressivo que impediu a análise completa de todos os serviços afetados. No entanto, Fowler conseguiu confirmar a autenticidade de parte dos dados ao entrar em contato com algumas das vítimas, que reconheceram suas senhas reais entre os registros expostos.
O pesquisador notificou a empresa responsável pela hospedagem da base, que rapidamente restringiu o acesso ao conteúdo. Porém, até o momento, a identidade do responsável pelo armazenamento dos dados permanece desconhecida.
Origem da base: infostealers e malwares especializados
De acordo com Fowler, as evidências apontam que os dados foram coletados por meio de infostealers, um tipo de malware especializado em roubar informações pessoais de dispositivos infectados. Essas ferramentas geralmente capturam senhas salvas em navegadores, aplicativos de e-mail e mensageiros, além de coletar cookies, dados de preenchimento automático e até carteiras de criptomoedas.
Algumas variantes mais avançadas desses malwares também conseguem registrar tudo o que a vítima digita (keylogging) e tirar capturas de tela do sistema comprometido, aumentando ainda mais o risco para quem tem seus dispositivos infectados.
Infostealers costumam ser disseminados via campanhas de phishing e softwares piratas, explorando a falta de conhecimento ou descuido dos usuários para invadir seus sistemas sem que percebam.
O risco invisível: e-mail como “armazenamento em nuvem” gratuito
Fowler destacou ainda um risco silencioso: o uso do e-mail como uma espécie de armazenamento em nuvem. Muitas pessoas mantêm em suas caixas de entrada documentos sensíveis, como declarações de imposto de renda, registros médicos, contratos e, frequentemente, senhas, por longos períodos, sem perceber o perigo.
Em caso de vazamento ou invasão da conta, o impacto pode ser devastador para a segurança e privacidade das vítimas. Por isso, o especialista recomenda uma prática simples, mas eficaz: revisar periodicamente as caixas de entrada e excluir mensagens antigas com dados pessoais ou financeiros.
Medidas éticas e segurança das vítimas
Fowler frisou que, por princípios éticos, não fez o download completo da base exposta. Limitou-se a acessar amostras e capturar imagens de tela suficientes para notificar vítimas e comprovar a veracidade dos dados.
O caso reforça mais uma vez a importância de boas práticas de segurança digital: uso de senhas fortes e únicas, autenticação em dois fatores e vigilância constante contra links suspeitos ou software não autorizado.
