Hack Alerta

Código da Microsoft chegou do nada no e-mail? Veja se a sua conta está em risco

Por Redação Hack Alerta Publicado em 26/05/2026 12:01 Cyber ataques Tempo de leitura: 7 min

Usuários recebem códigos de uso único não solicitados da Microsoft, indicando ataques de credential stuffing. Entenda os riscos, como proteger sua conta e as implicações para empresas sob a LGPD.

Introdução

Usuários de contas Microsoft têm relatado, nas últimas semanas, o recebimento de códigos de uso único para acesso e recuperação de contas, mesmo sem terem solicitado a ação. O fenômeno, confirmado pela própria empresa, indica um cenário de ataque de credential stuffing em larga escala, onde credenciais vazadas são testadas automaticamente contra serviços da Microsoft.

Embora a notificação em si seja legítima e enviada pelo domínio oficial accountprotection.microsoft.com, o envio não solicitado é um sinal claro de que atacantes estão tentando invadir contas utilizando combinações de e-mail e senha obtidas em vazamentos anteriores. Este alerta é crucial para profissionais de segurança e usuários finais, pois indica que as credenciais podem estar comprometidas em outros serviços.

O que está acontecendo

A Microsoft confirmou que os códigos de uso único podem ser gerados sem a solicitação direta do usuário quando alguém tenta acessar a conta indevidamente ou insere o login errado. No entanto, o volume de relatos recentes sugere uma campanha coordenada de testes automatizados. Os e-mails contêm o assunto "Seu código de uso único" e trazem a mensagem "nós recebemos uma solicitação para um código de uso único para a sua conta da Microsoft" acompanhada por um código de seis dígitos.

Os envios miram diferentes provedores, mas tendem a priorizar quem utiliza o serviço do Google. Em um dos casos acompanhados pela reportagem, a credencial foi encaminhada para um único e-mail do Outlook, enquanto outro relato indica que recebeu o código em três endereços diferentes do Gmail. Em comum, todos os endereços de e-mail que receberam a notificação constam em listas de vazamentos de dados registrados no Have I Been Pwned.

Por que os códigos foram enviados

Segundo o gerente de Engenharia de Segurança da Check Point Software Brasil, Fernando de Falchi, o comportamento alarmante nas últimas semanas se trata de um potencial ataque de credential stuffing em larga escala contra contas de serviços da empresa. O credential stuffing é uma prática que explora nomes de usuário e senhas obtidos em vazamentos de dados. Com as informações em mãos, os atacantes automatizam o login a contas de diferentes serviços, como e-mails, redes sociais, jogos e afins, para invadi-las e até "sequestrá-las".

"Quando o e-mail e senha estão corretos, a Microsoft detecta o login de um local ou IP diferente e envia o código de verificação legítimo para o dono da conta. Por isso as vítimas recebem o código sem terem solicitado nada", afirma o especialista. "Isso não significa que a conta já foi comprometida, uma vez que o atacante ainda precisa do código, mas é um forte alerta de que a combinação e-mail e senha está sendo testada ativamente."

Cabe ressaltar que o episódio não está relacionado a uma falha de segurança da Microsoft e de outros provedores de e-mail, como o Gmail. Trata-se de uma exploração de credenciais vazadas, não de uma vulnerabilidade técnica no sistema de autenticação.

Impacto e riscos para a organização

Para empresas, o recebimento desses códigos por e-mails corporativos é um indicador de risco significativo. Se um funcionário recebe um código não solicitado, isso significa que suas credenciais de e-mail corporativo (ou as de um usuário pessoal vinculado a serviços corporativos) estão sendo testadas ativamente. Isso pode levar a:

  • Comprometimento de conta (Account Takeover): Se o usuário, por engano, fornecer o código a um atacante que se passa por suporte, ou se o atacante conseguir burlar a verificação por outros meios.
  • Exfiltração de dados: Contas de e-mail comprometidas podem ser usadas para acessar pastas compartilhadas, OneDrive corporativo e outras ferramentas integradas.
  • Phishing secundário: Uma conta comprometida pode ser usada para enviar e-mails de phishing para colegas de trabalho, aumentando a superfície de ataque interna.

Medidas de mitigação recomendadas

A Microsoft orienta que o envio da notificação não significa que a conta foi acessada, uma vez que é preciso inserir o código para concluir o login. No entanto, a notificação indica um forte alerta de que a combinação de e-mail e senha está sendo testada ativamente. As seguintes medidas devem ser tomadas imediatamente:

  • Não use o código e ignore o e-mail: Nunca insira o código em nenhum site, mesmo que pareça legítimo, se você não solicitou a ação.
  • Nunca compartilhe o código de acesso com outras pessoas: Isso inclui suporte técnico, amigos ou familiares.
  • Troque a senha: Acesse diretamente o site "account.microsoft.com", faça login e troque a senha por uma forte e única, diferente de outras contas.
  • Ative a autenticação em múltiplos fatores (MFA): Utilize o Microsoft Authenticator, 1Password, Google Auth, Proton Authenticator e demais apps seguros e confiáveis.
  • Utilize passkeys: Se disponível, considere o uso de chaves de acesso (passkeys) para eliminar a dependência de senhas.
  • Evite o uso de autenticações em duas etapas via SMS e ligação: São mais vulneráveis a ataques de SIM swapping e interceptação.
  • Verifique os dispositivos conectados: Revise a lista de dispositivos e aplicativos autorizados na conta e remova os desconhecidos.

Implicações regulatórias (LGPD)

Para empresas brasileiras, o comprometimento de contas de e-mail corporativo pode ter implicações sob a Lei Geral de Proteção de Dados (LGPD). Se credenciais de funcionários forem usadas para acessar dados pessoais de clientes ou dados sensíveis, a organização pode ser responsabilizada por falhas na gestão de acesso e autenticação.

A implementação de MFA forte e a monitoração de tentativas de login anômalas são requisitos básicos de segurança da informação que também atendem aos princípios de segurança e prevenção da LGPD. O envio de códigos não solicitados deve ser tratado como um incidente de segurança potencial, exigindo notificação interna e, em casos de confirmação de vazamento, avaliação de notificação à ANPD.

Perguntas frequentes

Se eu receber o código, minha conta já foi invadida?
Não necessariamente. O código é enviado quando o sistema detecta uma tentativa de login com credenciais válidas, mas sem o segundo fator. Se você não inserir o código, o acesso não é concedido.

Devo responder ao e-mail?
Não. E-mails de segurança da Microsoft não solicitam resposta. Ignore o e-mail e verifique a segurança da conta diretamente no site oficial.

Isso é um vírus no meu computador?
Não. O envio do e-mail é um processo do servidor da Microsoft. O risco está na credencial que está sendo testada, não em um malware no seu dispositivo.

O que fazer agora

Reforce a segurança de outros serviços. Assim como na conta da Microsoft, troque as senhas por credenciais fortes e únicas e ative a autenticação em múltiplas etapas em todos os serviços críticos. A segurança é uma camada, e a proteção de uma conta pode depender da segurança de outra.

Baseado em publicação original de Canaltech
Tags: #=microsoft #credential-stuffing #mfa #phishing #seguranca #lgpd #conta #e-mail #vazamento
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar