Pesquisadores da Cybernews descobriram um servidor Elasticsearch aberto com 8,3 terabytes de credenciais roubadas - cerca de 24 bilhoes de registros de 36 fontes distintas. Encontrado no final de junho de 2026, o conjunto de dados combina logs recentes de infostealers, canais do Telegram que comercializam numeros de cartao roubados e exportacoes diretas de bancos de dados corporativos comprometidos. Uma parte significativa dos registros provinha de servidores ativos no momento da coleta. Credenciais de contas VPN, pares de login SaaS e senhas bancarias estao presentes em todo o conjunto de dados.
O que foi encontrado e de onde veio
Malware infostealer e uma categoria de software que extrai silenciosamente senhas salvas no navegador, cookies de sessao, dados de preenchimento automatico e arquivos de carteiras cripto de maquinas infectadas. Apos a instalacao - tipicamente por e-mails de phishing, software pirateado ou extensoes de navegador maliciosas - um infostealer transmite tudo o que encontra a um servidor de comando e controle em questao de segundos. O operador entao vende os logs resultantes em canais do Telegram ou mercados da dark web.
O conjunto de dados da Cybernews agrega 36 dessas fontes em um unico indice pesquisavel. O numero de 24 bilhoes inclui duplicatas, mas os pesquisadores identificaram uma parcela substancial de pares de credenciais unicos - enderecos de e-mail combinados com senhas em texto simples ou com hashes fracos. A presenca de exportacoes de servidores ao vivo sugere que parte dos dados estava atual no momento da indexacao.
Por que os dados de infostealers sao mais perigosos que violacoes padrao
Em uma violacao de dados convencional, os atacantes roubam o banco de dados de uma empresa. Essas credenciais geralmente estao com hash, podem ter meses ou anos e representam o que os usuarios inseriram ao se cadastrar. O grupo ShinyHunters expoe 455.000 registros de estudantes da Universidade de Nottingham por este modelo - nomes, e-mails e senhas com hash de uma unica instituicao.
Os dados de infostealers funcionam de forma diferente. O malware captura senhas enquanto sao digitadas ou recuperadas do armazenamento de senhas do navegador. O resultado e um par usuario-senha em texto simples, atualizado na data da infeccao. Nao ha hash para quebrar. O incidente Fortibleed expos 86.000 credenciais VPN Fortinet em texto simples por um mecanismo semelhante - comprometimento do dispositivo em vez de roubo de banco de dados.
Isso significa que mesmo que voce sempre tenha usado senhas fortes e unicas, uma infeccao por infostealer em qualquer um dos seus dispositivos pode expor todas as credenciais salvas no seu navegador naquele momento. A forca da senha e irrelevante se ela for capturada antes que qualquer criptografia ocorra.
Como verificar se suas credenciais estao no conjunto de dados
Varios servicos permitem verificar se seu endereco de e-mail ou senhas especificas apareceram em bancos de dados de violacoes conhecidas. Nenhum desses servicos exige que voce insira sua senha real - todos usam tecnicas criptograficas para verificar apenas contra versoes com hash.
- Have I Been Pwned: O servico gratuito mais estabelecido. Insira seu e-mail para ver em quais violacoes ele apareceu, ou verifique senhas individuais usando hashing k-anonimato - sua senha completa nunca e transmitida. O site agora tem uma categoria especifica "Stealer Logs" para credenciais obtidas por infostealers.
- Cybernews Personal Data Leak Checker: Gerido pelos mesmos pesquisadores que encontraram este conjunto de dados. Verifica seu e-mail no banco de dados acumulado de registros vazados, incluindo o conjunto de 24 bilhoes de registros descrito neste artigo.
- Firefox Monitor: O servico gratuito da Mozilla, baseado nos dados do Have I Been Pwned. Fornece monitoramento continuo - alerta por e-mail se seu endereco aparecer em futuras violacoes.
- Google Password Checkup: Se voce salva senhas no Chrome, o Google as compara com pares de credenciais comprometidos conhecidos e avisa sobre correspondencias na secao de Verificacao de seguranca. Suas senhas em texto simples nao sao transmitidas aos servidores do Google.
O que fazer se seus dados forem encontrados
Se qualquer um dos servicos acima mostrar uma correspondencia para seu e-mail ou senhas, a resposta deve ser imediata e sistematica:
- Altere a senha exposta imediatamente no servico afetado. Se voce usou a mesma senha em outros lugares, altere-a em todos os outros servicos tambem.
- Ative a autenticacao de dois fatores (2FA) em cada conta que a suporte. Mesmo que um atacante tenha sua senha correta, um codigo TOTP ou chave de hardware impede o acesso. Aplicativos de autenticacao (Google Authenticator, Authy, Aegis) sao mais robustos que a 2FA por SMS.
- Adote um gerenciador de senhas que gere senhas unicas e aleatorias para cada servico. Se voce nao reutilizar senhas, um unico comprometimento fica contido a uma conta. Bitwarden, 1Password e KeePassXC sao opcoes estabelecidas.
- Verifique seus dispositivos em busca de infeccoes por infostealer. Se uma senha foi capturada por malware em vez de roubada do banco de dados de uma empresa, alterar a senha nao remove o malware. Execute uma verificacao completa com um antivirus atualizado.
- Revogue sessoes ativas em contas criticas (e-mail, banco, armazenamento em nuvem). A maioria das plataformas oferece uma opcao "Sair de todas as outras sessoes" nas configuracoes de seguranca.
O que realmente protege suas contas
Uma VPN criptografa seu trafego de Internet e impede a interceptacao no nivel da rede. Ela nao protege contra malware infostealer, que opera inteiramente em seu dispositivo antes que os dados alcancem a rede. A violacao da Carnival Cruises expos dados de passaporte de 6 milhoes de viajantes por meio de comprometimento do lado do servidor - um vetor de ataque diferente, mas com as mesmas consequencias praticas para as vitimas.
A defesa multicamadas mais eficaz contra roubo de credenciais combina: um gerenciador de senhas que gera credenciais unicas por servico, 2FA de hardware ou aplicativo em cada conta que a suporte, e verificacoes regulares em bancos de dados de violacoes. Uma VPN adiciona protecao na camada de rede, mas nao pode compensar senhas reutilizadas ou dispositivos infectados.