Um grave incidente de segurança revelou as credenciais de acesso de mais de 73 mil firewalls FortiGate espalhados pelo mundo. Entre as organizações afetadas estão gigantes como Samsung, Foxconn, Comcast, Siemens e Oracle, além de diversos órgãos governamentais.
A descoberta foi feita pelo pesquisador de segurança Bob Diachenko, que encontrou um banco de dados acessível publicamente. Após identificar a exposição, ele compartilhou as informações com a empresa de inteligência em cibersegurança Hudson Rock, que realizou uma análise detalhada do conteúdo.
O que foi exposto?
O banco de dados, apelidado de FortiBleed, reúne informações de 73.932 dispositivos FortiGate, distribuídos em 194 países e pertencentes a 21.632 domínios diferentes.
Entre os dados encontrados estavam:
– Nomes de usuário;
– Endereços de e-mail;
– Senhas armazenadas em texto simples.
Os setores mais impactados incluem telecomunicações, empresas de tecnologia, órgãos públicos, hospitais, universidades e indústrias.
O que é um firewall FortiGate?
O FortiGate é um firewall desenvolvido pela Fortinet, empresa especializada em soluções de cibersegurança.
Na prática, ele funciona como uma barreira de proteção para a rede de uma empresa, controlando o tráfego de dados e impedindo acessos não autorizados. Grandes organizações utilizam esses equipamentos para proteger servidores, sistemas internos e informações sensíveis.
Como os criminosos conseguiram as credenciais?
Segundo Bob Diachenko, o ataque foi conduzido por um grupo de cibercriminosos de língua russa, que realizou uma operação em larga escala contra dispositivos FortiGate.
Os números impressionam:
– Cerca de 1,16 bilhão de tentativas de autenticação contra mais de 320 mil firewalls FortiGate;
– Aproximadamente 2,1 bilhões de tentativas de acesso contra mais de 163 mil servidores Microsoft SQL.
Os invasores capturaram hashes de autenticação da VPN SSL — uma versão criptografada das senhas — e utilizaram um cluster com 45 placas de vídeo (GPUs) para quebrar essa criptografia por força bruta.
Depois de recuperar as senhas originais, os criminosos conseguiam acessar as redes corporativas e se movimentar internamente como se fossem usuários legítimos.
Durante a investigação, Diachenko também encontrou uma pasta deixada aberta pelos próprios invasores. O diretório continha scripts, registros de comandos, logs e outros arquivos que ajudaram a entender toda a operação.
Especialistas confirmam autenticidade dos dados
O pesquisador de segurança Kevin Beaumont analisou parte do banco de dados de forma independente e confirmou que diversas credenciais administrativas eram autênticas.
Segundo ele, as informações parecem ter sido extraídas diretamente de arquivos de configuração dos equipamentos FortiGate, já que incluem dados que normalmente só aparecem nesses backups.
Beaumont estima que o vazamento represente aproximadamente metade de todos os dispositivos Fortinet expostos na internet.
Além disso, os endereços IP identificados são diferentes daqueles presentes no vazamento atribuído ao grupo Belsen, divulgado em 2025, indicando que o FortiBleed é mais recente e significativamente maior.
Caso lembra ataque sofrido pela JBS
O incidente possui características semelhantes ao ataque que atingiu a JBS em março de 2026.
Na ocasião, o grupo Coinbasecartel explorou um link exposto do FortiReset, ferramenta utilizada para redefinir credenciais administrativas dos dispositivos FortiGate.
Embora o ataque à JBS tenha contado com a participação de um funcionário da empresa, caracterizando uma ameaça interna (insider threat), o risco é semelhante: quando credenciais administrativas de equipamentos FortiGate são comprometidas, os invasores podem obter acesso direto às redes corporativas.
Países mais afetados
Segundo a Hudson Rock, os países com maior número de dispositivos comprometidos são:
– Índia;
– Estados Unidos;
– Taiwan;
– México.
O Brasil ocupa a 11ª posição no ranking dos países mais afetados.
Os pesquisadores também descobriram que o banco de dados continha informações adicionais sobre as empresas, como setor de atuação, faturamento e quantidade de funcionários, sugerindo que os criminosos utilizavam esses dados para selecionar alvos de maior interesse.
Como verificar se sua empresa foi afetada
A Hudson Rock disponibilizou gratuitamente a ferramenta FortiBleed Lookup, que permite verificar se uma organização faz parte da base de dados vazada.
Além disso, especialistas recomendam que empresas que utilizam equipamentos Fortinet adotem imediatamente as seguintes medidas:
– Alterar todas as senhas administrativas e de VPN;
– Ativar autenticação multifator (MFA);
– Revisar os logs dos dispositivos em busca de acessos suspeitos;
– Monitorar possíveis vazamentos de credenciais de funcionários.
A rápida adoção dessas medidas pode reduzir significativamente o risco de invasões e minimizar os impactos caso as credenciais tenham sido comprometidas.
