Um vazamento de proporções inéditas expôs cerca de 16 bilhões de dados, segundo informou o site especializado Cybernews na última quarta-feira (18). A compilação foi classificada pelos pesquisadores como o maior vazamento já registrado envolvendo credenciais de acesso a serviços online, embora a equipe admita a possibilidade de haver duplicações nos registros.

As informações estavam dispersas em cerca de 30 bases de dados distintas, algumas com dezenas de milhões e outras com até 3,5 bilhões de registros. De acordo com a Cybernews, parte significativa desses dados seria recente, o que aumentaria o risco de uso indevido. “O que mais preocupa é a estrutura e a atualidade desses conjuntos de dados – não são apenas vazamentos antigos sendo reciclados, são dados frescos e potencialmente exploráveis em larga escala”, afirmaram os especialistas.

O site acredita que os dados foram obtidos por meio de infostealers, programas maliciosos projetados para infectar dispositivos e capturar informações pessoais. A investigação conduzida pela Cybernews não identificou nenhuma violação direta aos sistemas de empresas como Apple, Google ou Meta. “Não houve nenhuma violação centralizada de dados”, reforçou um dos pesquisadores.

Apesar da divulgação, o portal Bleeping Computer questionou a novidade da descoberta. Para o veículo, não há comprovação de que os dados divulgados sejam inéditos. A publicação comparou a situação com o caso RockYou2024, quando uma compilação com quase 10 bilhões de senhas, revelada em julho de 2024, foi formada por registros já vazados anteriormente.

A Hudson Rock, empresa de segurança digital, afirmou que infostealers costumam capturar em torno de 50 credenciais por computador. Para alcançar o número de 16 bilhões de senhas, seria necessário violar aproximadamente 320 milhões de dispositivos. A empresa considera esse cenário improvável e alerta que os dados possam estar inflados por duplicações ou informações obsoletas.

Troy Hunt, criador da plataforma Have I Been Pwned (HIBP), que rastreia vazamentos, declarou que ainda busca entender melhor a origem e a extensão da nova compilação. “Ainda não está claro se é algo que podemos incluir no HIBP ou não”, afirmou.

Não há confirmação sobre o total de usuários ou contas afetadas, tampouco se o Brasil está entre os países diretamente impactados. No entanto, o maior banco de dados identificado, com 3,65 bilhões de registros, está “possivelmente” relacionado à população que fala português, segundo a Cybernews.

Apenas um dos vazamentos citados havia sido anteriormente relatado: em maio, a revista Wired divulgou a existência de um “banco de dados misterioso” com 184 milhões de registros.

O conjunto de informações divulgadas inclui dados de login de redes sociais, aplicativos bancários, plataformas de serviços públicos e outros sistemas. Os dados teriam sido obtidos via phishing, infecção por malwares e ataques de ransomware, sem comprometimento direto das grandes empresas citadas.

O Google negou qualquer relação com falha em seus sistemas e orientou os usuários a utilizarem ferramentas como gerenciadores de senha e autenticação em duas etapas. A Meta e o GitHub preferiram não se manifestar. A Apple também não comentou o caso.

Especialistas reforçam medidas de proteção, como atualizar senhas antigas, adotar senhas únicas, evitar reutilização, ativar autenticação multifator e manter os dispositivos atualizados com os patches de segurança mais recentes.