Um banco de dados com mais de 183 milhões de combinações de e-mail e senha foi tornado público, colocando usuários de serviços como Gmail, Outlook e Yahoo em situação de risco. A ocorrência foi confirmada nesta segunda-feira (27) pelo especialista em cibersegurança Troy Hunt, criador do serviço Have I Been Pwned, que monitora incidentes de vazamento de credenciais.
Dimensão do incidente e origem das informações
Segundo Hunt, o arquivo soma aproximadamente 3,5 terabytes e reúne registros provenientes de diferentes plataformas online. A coleta teria sido concluída em abril de 2025, mas só agora veio a público. De acordo com o pesquisador, “todos os grandes provedores estão representados na lista, com destaque para o Gmail”.
Relatórios indicam que as credenciais foram obtidas por infostealers – programas maliciosos capazes de capturar dados armazenados em navegadores e aplicativos. Uma vez coletadas, as informações costumam ser comercializadas na dark web, onde podem ser usadas em ataques de phishing, fraudes financeiras e invasões de contas corporativas.
Levantamento preliminar revela que 90 % dos endereços de e-mail já tinham aparecido em vazamentos anteriores. Apesar disso, o elevado volume de senhas ainda inéditas amplia o alcance do risco, pois reforça a oportunidade de combinações válidas para ataques de credential stuffing.
Reação das empresas e orientações imediatas
Procurada sobre o caso, a divisão Google Cloud afirmou que não houve invasão direta aos sistemas do Gmail. Segundo a companhia, o problema reside em dispositivos comprometidos que capturaram credenciais, e não em falhas nos servidores do Google. A Microsoft, responsável pelo Outlook, reforçou a mesma posição, declarando que não identificou indícios de acesso não autorizado às suas infraestruturas.
Ambas as empresas recomendam aos usuários ativar a verificação em duas etapas (2FA) e, quando possível, migrar para chaves de acesso FIDO2, recurso que dispensa o uso de senhas convencionais. Especialistas também sugerem:
- Trocar imediatamente a senha de qualquer conta envolvida;
- Evitar reutilizar combinações antigas em serviços diferentes;
- Criar senhas com no mínimo 12 caracteres, mesclando letras, números e símbolos;
- Revisar dispositivos conectados e revogar acessos suspeitos;
- Manter sistemas e aplicativos atualizados contra vulnerabilidades conhecidas.
Impacto potencial para consumidores e empresas
Segundo consultores de segurança, a divulgação massiva de credenciais dificulta a detecção de atividades maliciosas, pois oferece aos criminosos inúmeros pares válidos de login e senha. Empresas que adotam apenas autenticação por senha podem notar aumento de tentativas de invasão automatizadas nos próximos meses.
No âmbito do consumidor final, a principal consequência é a possibilidade de sequestro de contas em plataformas de comércio eletrônico, streaming e redes sociais. Uma senha reutilizada em vários serviços permite que o invasor acesse múltiplos perfis e, em casos extremos, realize transações financeiras indevidas. Para o usuário comum, a verificação em duas etapas torna-se a barreira mínima recomendada.
Como saber se suas informações vazaram
O Have I Been Pwned disponibiliza consulta gratuita: basta inserir o endereço de e-mail e aguardar o resultado. Caso o sistema retorne a mensagem “Oh no — pwned!”, o site exibirá a lista de incidentes nos quais o endereço apareceu, acompanhada das datas e dos tipos de dados expostos.
Imagem: Captura de tela
Caso sua conta figure entre as afetadas, a orientação é redefinir a senha sem reaproveitar combinações já usadas. Além disso, habilite a autenticação em duas etapas por aplicativo gerador de códigos ou por chave física de segurança. Segundo especialistas, o uso exclusivo de SMS como segundo fator tende a ser menos robusto diante de ataques de SIM swap.
O que muda para o usuário a partir de agora
Para quem depende de contas online em atividades diárias, o novo vazamento reforça a urgência de práticas de higiene digital. A tendência de consolidação de credenciais roubadas em megabancos de dados permite que cibercriminosos ampliem o escopo de ataques sem esforço adicional. Na prática, isso pode resultar em mais notificações de tentativas de login suspeito, bloqueios preventivos e necessidade frequente de troca de senhas.
Segundo analistas, empresas que oferecem serviços em nuvem ou comércio eletrônico devem acelerar a adoção de autenticação sem senha, enquanto órgãos reguladores podem pressionar por requisitos mais rígidos de proteção de dados. Para o consumidor, a conscientização sobre gerenciamento de senhas torna-se peça-chave na redução de impactos.
Curiosidade
Embora o megavazamento atual pareça inédito pelo volume, o maior banco de dados de senhas já catalogado pertence ao RockYou2021, com mais de oito bilhões de combinações expostas. A diferença é que, naquela ocasião, as senhas foram compiladas a partir de dezenas de incidentes distintos ao longo de anos, enquanto o caso de abril de 2025 concentra um número expressivo de senhas inéditas obtidas em curto intervalo, destacando a evolução dos infostealers como ferramenta de coleta.
Para mais informações e atualizações sobre tecnologia e ciência, consulte também:
Quer aprofundar seu conhecimento em proteção digital? Visite a seção de cibersegurança em nosso portal e confira outras dicas de especialistas. Continue informado acessando nossas últimas notícias de tecnologia e mantenha suas contas sempre seguras.
Quando você efetua suas compras por meio dos links disponíveis aqui no RN Tecnologia, podemos receber uma comissão de afiliado, sem que isso acarrete nenhum custo adicional para você!
