Um gigantesco compilado de logins e senhas de e-mails — cerca de 16 milhões de credenciais de serviços como Gmail, Yahoo e Outlook — foi divulgado no site Have I Been Pwned (HIBP), plataforma que permite verificar se uma conta foi exposta em vazamentos. O arquivo soma 3,5 terabytes de informações, equivalente a 23 bilhões de registros de usuários.

Imagem: IA

O vazamento foi identificado em abril deste ano, mas só entrou na base pública do HIBP em outubro. Apesar do volume, as informações não indicam invasão direta aos servidores das empresas. Segundo o Google, as credenciais são fruto de ataques antigos realizados por programas maliciosos conhecidos como infostealers, que coletam dados armazenados em navegadores infectados.

A empresa negou qualquer falha de segurança no Gmail, afirmando que parte das 183 milhões de contas listadas não pertence à sua plataforma. Em nota, o Google explicou que o material vem de bancos de dados acumulados por criminosos ao longo dos anos. Já Microsoft e Yahoo não se pronunciaram até o momento.

O especialista Troy Hunt, criador do HIBP, confirmou que diversas empresas foram impactadas, embora não tenha revelado nomes. Segundo ele, boa parte dos dados é antiga, mas ainda representa risco para usuários que repetem senhas em vários serviços — prática que facilita o chamado credential stuffing, quando golpistas testam combinações de e-mail e senha em outros sites.

Especialistas em cibersegurança orientam que quem suspeitar de exposição altere imediatamente suas senhas e ative a autenticação em duas etapas (2FA). Também recomendam o uso de senhas longas e únicas, com mistura de letras, números e símbolos, além de gerenciadores de senhas, como os oferecidos pelo Google, LastPass, Microsoft Authenticator, KeePass, 1Password ou Dashlane.

A checagem pode ser feita no próprio site do Have I Been Pwned, onde o usuário insere o endereço de e-mail para saber se consta entre os afetados. Caso apareça, é importante revisar acessos recentes e desconfiar de mensagens suspeitas.

Em resumo, o megavazamento não decorre de uma nova invasão, mas da consolidação de dados furtados por malwares ao longo dos anos. A principal medida preventiva continua sendo o cuidado com senhas e a adoção de autenticação adicional para reduzir vulnerabilidades.