Da Redação :: CISO Advisor
23/01/2026
20:37
Um banco de dados contendo 149 milhões de logins e senhas únicos foi descoberto sem qualquer proteção de criptografia exposto num servidor em nuvem, provavelmente alimentado por malwares do tipo infostealer. O pesquisador de cibersegurança Jeremiah Fowler, em relatório publicado hoje, detalha que o repositório somava 96 GB de dados brutos coletados silenciosamente de dispositivos infectados em diversos países.
A exposição, segundo ele, atinge uma vasta gama de serviços online, incluindo gigantes como Facebook (17 milhões de registros), Instagram (6,5 milhões), Gmail (48 milhões) e plataformas de entretenimento como Netflix e Roblox. Além de contas de redes sociais e streaming, o vazamento inclui credenciais de serviços financeiros, carteiras de criptomoedas e, de forma alarmante, domínios governamentais (.gov), o que eleva o risco para a segurança nacional de múltiplas jurisdições.
Malware infostealer mimetiza caminhos de rede para evasão
O banco de dados utilizava uma estrutura técnica conhecida como host_reversed path para organizar as informações roubadas de forma indexável por máquina e usuário. Segundo o relatório compartilhado pela ExpressVPN, essa tática de inverter o nome do domínio busca evitar conflitos de diretórios e burlar regras básicas de detecção em firewalls que monitoram formatos de domínios padrão durante a exfiltração de dados.
“O número de registros continuou a aumentar desde o momento da descoberta até a restrição do acesso, o que indica que o servidor estava recebendo dados de infecções ativas”, explica Jeremiah Fowler. Ele alerta que os logs incluíam URLs exatas de login, permitindo que criminosos automatizem ataques de credential stuffing com precisão cirúrgica, uma vez que possuem não apenas a senha, mas o ponto de entrada específico de cada serviço.
A investigação revelou que o repositório operava sem informações de propriedade associadas, dificultando a identificação dos responsáveis. Foi necessário quase um mês de notificações ao provedor de hospedagem para que o banco de dados fosse finalmente retirado do ar. A demora na resposta de infraestruturas de nuvem a denúncias de abuso continua sendo um gargalo crítico que permite a persistência de operações de cibercrime em larga escala.
Especialistas reforçam que, em casos de infecção por infostealer, a simples troca de senhas é insuficiente se o dispositivo não for limpo, pois o malware capturará a nova credencial imediatamente. A recomendação para os stakeholders é a adoção imediata de autenticação multifator (MFA) e o uso de soluções de detecção e resposta de endpoint (EDR) que monitorem comportamentos anômalos de processos legítimos, pondera Fowler.
Análise Editorial: A descoberta de Fowler expõe o “backoffice” do crime digital: até os operadores de malware sofrem com falhas de configuração em nuvem. No CISO Advisor, ressaltamos que a presença de 1,4 milhão de contas .edu e milhares de .gov neste vazamento prova que o perímetro de segurança corporativo é irrelevante se o dispositivo pessoal do colaborador, usado em regime de home office, estiver comprometido por um infostealer silencioso.
Comentários