Um pesquisador de cibersegurança da Ucrânia disse, nesta sexta-feira (23), ter encontrado um banco de dados com 149 milhões de senhas expostas na internet.
A lista inclui dados de usuários do Gmail, do Facebook, do Instagram, do Yahoo, de serviços de streaming e também do “gov.br”, entre outros, segundo Jeremiah Fowler.
Ao detalhar o caso para o ExpressVPN, serviço de rede privada baseado nas Ilhas Virgens Britânicas, o pesquisador afirmou que o material tinha 96 GB de dados brutos, incluindo e-mails, nomes de usuários e senhas roubadas de vítimas ao redor do mundo.
O g1 procurou as administradoras dos serviços citados. O Google disse estar ciente de “relatos sobre um conjunto de dados contendo uma variedade de credenciais, incluindo algumas do Gmail”.
A empresa afirmou que os dados são uma “compilação de credenciais coletadas de dispositivos pessoais por malware de terceiros” e “que foram agregadas ao longo do tempo”.
Uma afirmação semelhante foi feita por especialistas em 2025, diante de outro caso em que serviços do Google foram citados. Na época, o veículo de segurança cibernética Cybernews disse ter descoberto um conjunto de dados com 16 bilhões de senhas.
Mas outros pesquisadores questionaram o número tão alto. E disseram que, provavelmente, aquele banco não tinha dados novos ou nunca vistos, mas reunia os que foram sendo expostos ao longo do tempo. Isso levando em conta, principalmente, o número extremamente alto divulgado pela Cybernews, da ordem de bilhões.
Assim como o Google, o Ministério da Gestão negou nesta sexta qualquer registro de invasão ou vazamento na plataforma gov.br, e orientou usuários a não compartilharem suas senhas e a ativarem verificação em duas etapas, que aumenta a proteção.
Sobre o caso desta sexta, Fowler não informou como encontrou o banco de dados nem onde ele estava hospedado. Ele disse que os dados foram reunidos com um “infostealer”, um tipo de programa criado para infectar máquinas de usuários e roubar informações pessoais.
E que não encontrou informações sobre quem criou a lista e que, por isso, alertou o provedor de hospedagem.
O provedor disse que o sistema era mantido por uma empresa subsidiária que operava de forma independente. Depois de um mês e várias tentativas, o banco de dados foi finalmente derrubado, e as senhas ficaram inacessíveis.
Plataformas afetadas
Ainda de acordo com o pesquisador, a lista de contas de e-mail expostas continha o seguinte volume de dados dessas plataformas:
- Gmail, 48 milhões;
- Yahoo, 4 milhões;
- Outlook, 1,5 milhão;
- iCloud, 900 mil;
- E-mails com final “.edu”, 1,4 milhão.
Outros serviços incluem:
- Facebook, 17 milhões;
- Instagram, 6,5 milhões;
- Netflix, 3,4 milhões;
- TikTok, 780 mil;
- Binance, 420 mil;
- OnlyFans, 100 mil.
Ele não informou quantas senhas eram associadas a domínios “.gov”, usados por governos de vários países. Mas publicou um trecho do código que mostra um registro do “gov.br“, voltado para acessar plataformas de órgãos públicos brasileiros.
Fowler disse ainda ter encontrado um grande números de registros de serviços como Netflix, HBO Max, Disney Plus e Roblox, além de serviços financeiros, de criptomoedas e de corretoras de investimento.
Comente este post