149 milhões de credenciais expostas em repositório público
Pesquisadores descobriram um repositório público de ~96 GB contendo 149.404.754 credenciais (logins e senhas) colhidas por infostealers e keyloggers, acessível sem autenticação nem proteção. A exposição cria um risco imediato para campanhas de credential stuffing e ataques direcionados.
Descoberta e escopo
O pesquisador Jeremiah Fowler localizou o repositório e reportou o achado à ExpressVPN, que publicou análise sobre o conjunto de dados. Conforme a amostra divulgada, o índice continha 149.404.754 entradas únicas, incluindo credenciais associadas a grandes provedores de e‑mail e serviços — aproximadamente 48 milhões de Gmail, 4 milhões de Yahoo, 1,5 milhão de Outlook, 900 mil iCloud e 1,4 milhão de endereços .edu — além de 17 milhões de credenciais do Facebook, 6,5 milhões do Instagram, 780 mil do TikTok e 3,4 milhões de contas Netflix.
Evidências e características dos dados
Cada registro inclui endereço de e‑mail/usuário, senha e o URL exato usado para autorização, e o índice usava um campo "host_reversed path" para organizar per‑vítima. Foram encontradas também credenciais ligadas a domínios .gov de diversos países e acessos a serviços financeiros (aprox. 420 mil contas Binance), carteiras cripto, credenciais bancárias e 100 mil OnlyFans. Segundo o relatório, o índice podia ser consultado com um navegador comum.
Resposta do provedor e janela de exposição
Fowler reportou o repositório ao provedor de hospedagem via formulário de abuso; a resposta foi inicial e aparentemente lenta: o provedor alegou não hospedar o IP ou apontou autonomia de subsidiária. Passaram-se vários pedidos e quase um mês até que os dados fossem finalmente suspensos. Durante esse intervalo, o número de registros cresceu, indicando coleta contínua enquanto os dados estavam públicos. O provedor se recusou a revelar o dono do banco, deixando sem resposta perguntas sobre duração real da exposição e potenciais acessos por terceiros.
Impacto e vetores de ataque mais prováveis
- Credential stuffing automatizado contra serviços listados (Gmail, Instagram, Facebook, Netflix etc.).
- Spear‑phishing e impersonação a partir de contas .gov e educacionais comprometidas.
- Fraude financeira e roubo de ativos (carteiras cripto, plataformas de trading).
- Movimentação lateral caso credenciais administrativas ou de sistemas internos tenham sido roubadas.
Recomendações práticas
- Administradores: monitorar logs de autenticação por padrões de credential stuffing, forçar reset de credenciais suspeitas e exigir MFA para acessos críticos.
- Redes e segurança: aplicar detecção de anomalias de login (geolocalização, devices) e bloquear IPs com taxa elevada de tentativas.
- Usuários: habilitar autenticação de múltiplos fatores, usar gerenciadores de senhas e evitar reutilização de credenciais entre serviços.
- Se houver suspeita de infecção por infostealer/keylogger: isolar o dispositivo, atualizar o sistema e executar varredura com ferramentas EDR/antivírus confiáveis.
Limitações e o que ainda falta apurar
Não há, até a publicação do relatório, identificação do operador do repositório nem um inventário completo das contas afetadas por país — o que impede estimativa precisa de impacto por jurisdição (incluindo Brasil). Também não foi divulgado se houve uso ativo desses dados em campanhas já detectadas; recomenda‑se que equipes de resposta a incidentes e CSIRTs monitorem IOC e fontes de threat intelligence para correlações.
Fontes
Relatório público divulgado pela ExpressVPN com descobertas de Jeremiah Fowler; amostras e análise compiladas por pesquisadores de segurança citados na publicação.