Estudo encontra 16,4 milhões de novos logins vazados na internet

Estudo encontra 16,4 milhões de novos logins vazados na internet

Uma nova análise da startup americana Synthient revelou 16,4 milhões de combinações de login (e-mails e senhas) que ainda não constavam em bases públicas de vazamentos. Segundo a empresa, os dados foram coletados em fóruns, redes sociais, canais do Telegram e na rede Tor, ambientes onde cibercriminosos costumam compartilhar pacotes adquiridos por malware.

O material foi incorporado ao Have I Been Pwned? (HIBP), serviço criado pelo pesquisador Troy Hunt que permite ao usuário checar se seu e-mail ou senha já apareceu em incidentes de segurança. A plataforma funciona como um repositório que cruza milhares de fontes: hoje, sua base reúne mais de 15 bilhões de pares expostos em 917 sites.

Procurado, o Gmail (Google) afirmou que não houve um ataque direcionado à sua infraestrutura e recomendou boas práticas: ativar a verificação em duas etapas, considerar o uso de chaves de segurança e trocar senhas quando expostas em grandes lotes.

Como conferiu o HIBP para validar os dados, parte dos registros foi checada junto a assinantes cujos endereços apareciam nas listas — algumas senhas, embora antigas, foram confirmadas como reais. O conjunto de informações enviado ao HIBP foi dividido em dois grupos: logs de roubo (stealer logs), já publicados para consulta, e listas de credential stuffing — ainda em verificação e com previsão de liberação nas próximas semanas.

Especialistas explicam que os stealer logs são pacotes gerados por malwares instalados nas máquinas das vítimas, capazes de capturar credenciais no momento do login. Já as listas de credential stuffing reúnem pares e-mail/senha usados por hackers para testar reutilizações em outros serviços — uma prática que explora justamente a tendência de usuários repetirem senhas.

Diante do volume constante de vazamentos, Troy Hunt compara o fluxo de dados expostos a “uma mangueira de incêndio que está constantemente espalhando informações pessoais pela internet”, reforçando a natureza contínua e fragmentada desses incidentes — mais fluxo do que evento isolado.

Como se proteger (passos rápidos):

• Acesse haveibeenpwned.com e verifique seu e-mail;
• Ao confirmar exposição, troque a senha imediatamente;
• Ative verificação em duas etapas e, se possível, use chaves de segurança;
• Evite reutilizar senhas entre serviços e adote um gerenciador de senhas confiável.

Outras notícias sobre segurança digital e tecnologia você encontra no Ilhéus Eventos. Acesse www.ilheuseventos.com.br e siga a gente no Instagram @ilheuseventos.