24 Bilhões de Senhas Vazadas: o Que Sua Empresa e Você Deveriam Fazer Agora

24 bilhões de credenciais expostas reacendem um debate urgente: como nos comportamos no ambiente digital determina o risco que corremos.

Introdução: Quando o Número Impressiona Até Quem Entende do Assunto

No dia 17 de junho de 2026, pesquisadores de segurança da Cybernews publicaram uma descoberta que chamou atenção até de especialistas acostumados a lidar com grandes vazamentos: um cluster Elasticsearch acessível publicamente continha cerca de 24 bilhões de registros, composto quase integralmente por logs de infostealers, programas maliciosos especializados em capturar credenciais diretamente dos dispositivos das vítimas.

Entre os dados expostos estavam endereços de e-mail, nomes de usuário, senhas em texto simples e URLs de login associadas a cada credencial. A investigação rastreou 36 fontes distintas de origem, a maioria ligada a canais do Telegram dedicados ao compartilhamento de dados roubados. Logo após a descoberta, o acesso ao cluster foi interrompido, o que impediu uma análise mais completa sobre o conteúdo.

O número é expressivo por si só. Mas o que ele representa vai além da escala: revela que uma quantidade enorme de informações sensíveis circula permanentemente fora de qualquer proteção, disponível para quem souber onde procurar.

Este artigo não é um relatório técnico sobre o incidente. É um texto pensado para gestores e equipes operacionais que precisam entender o que esse tipo de evento significa para o dia a dia de trabalho e para a vida pessoal, e o que fazer de forma prática e imediata.

—

1. O Que São Infostealers e Por Que Eles São Tão Perigosos

A maior parte dos dados expostos no megavazamento de junho de 2026 veio de infostealers: programas maliciosos cuja função exclusiva é capturar informações do dispositivo infectado e enviá-las silenciosamente para quem os controla.

Eles se instalam de formas variadas: por anexos de e-mail disfarçados de documentos legítimos, por links em mensagens de WhatsApp ou Telegram, por extensões de navegador falsas, por softwares pirateados baixados de sites não confiáveis ou por arquivos compactados recebidos em grupos de trabalho.

Uma vez instalado, o infostealer trabalha em silêncio. Ele captura senhas salvas no navegador, cookies de sessão ativa (que permitem ao invasor acessar sistemas sem precisar da senha), histórico de navegação, informações de formulários preenchidos e, em algumas variantes, capturas de tela periódicas da tela do usuário.

O resultado é entregue ao atacante em um pacote organizado de dados, chamado de log. Esses logs são comercializados em fóruns criminosos e canais do Telegram, muitas vezes por valores muito baixos. Um log com credenciais corporativas válidas pode ser vendido por menos de cinco dólares.

O que torna os infostealers especialmente perigosos no ambiente corporativo é que eles frequentemente operam a partir de dispositivos pessoais usados para acesso a sistemas da empresa: o notebook doméstico que acessa o sistema de gestão pela VPN, o celular pessoal que recebe e-mails corporativos, o computador compartilhado em casa onde um colaborador abre o portal de benefícios da empresa.

—

2. O Que Um Vazamento Desse Tamanho Significa na Prática

Quando pesquisadores encontram um banco de dados com 24 bilhões de credenciais, é natural perguntar: isso me afeta diretamente?

A resposta honesta é: provavelmente sim, de alguma forma.

Não porque todas as contas expostas sejam recentes ou ativas. Parte dos dados em vazamentos desse tipo é antiga, resultado da agregação de incidentes anteriores ao longo de anos. Mas há três aspectos que tornam esse volume preocupante independentemente da idade dos registros:

Reutilização de senhas. Quando uma pessoa usa a mesma senha em vários serviços, um vazamento antigo de uma plataforma menos importante pode comprometer contas bancárias, e-mails corporativos e sistemas internos da empresa. Isso se chama credential stuffing: o atacante testa credenciais vazadas em múltiplos serviços de forma automatizada, até encontrar onde a combinação ainda funciona.

Senhas fracas que se repetem entre pessoas diferentes. Estudos de vazamentos anteriores revelaram que senhas como “123456”, “senha123” e “@empresa2024” aparecem em dezenas de milhares de contas diferentes. Uma lista de 24 bilhões de registros contém provavelmente milhões dessas senhas, e atacantes as testam prioritariamente.

Contextualização das credenciais. Os dados expostos incluíam as URLs de login associadas a cada credencial. Isso significa que o atacante não apenas tem o usuário e a senha: sabe exatamente para qual sistema aquele par de credenciais foi capturado, o que elimina o trabalho de testar por onde começar.

Para uma organização, o risco prático é este: algum colaborador, em algum momento, pode ter tido suas credenciais capturadas por um infostealer. Se essa credencial foi a mesma usada para acessar sistemas da empresa, ou se a senha usada na conta pessoal é parecida com a senha corporativa, a superfície de risco da organização está exposta.

—

3. Comportamento Digital Adequado no Ambiente Corporativo

A proteção de dados começa com comportamento. Não com tecnologia. A tecnologia é um complemento indispensável, mas ela falha diante de comportamentos inadequados. As orientações abaixo são dirigidas a toda a equipe, da operação à gestão.

3.1. Senhas: a Primeira Linha de Defesa

Use senhas únicas para cada sistema. Uma senha comprometida em um serviço não deve abrir portas em nenhum outro. Este é o princípio mais importante e também o mais descumprido.

Use um gerenciador de senhas. Ferramentas como Bitwarden, 1Password ou KeePass permitem criar e armazenar senhas longas e únicas para cada serviço, sem necessidade de memorizá-las. O único item que precisa ser memorizado é a senha mestra do gerenciador.

Senhas devem ser longas, não apenas complexas. Uma senha de 16 caracteres com palavras aleatórias é mais segura do que uma de 8 caracteres com símbolos. “cavalocafeazuljanela” é mais difícil de quebrar do que “C@f3#26”.

Nunca salve senhas no navegador em dispositivos compartilhados. Infostealers extraem com facilidade o cofre de senhas do Chrome, Firefox e Edge. Em dispositivos compartilhados ou pessoais usados também para trabalho, essa prática representa risco real.

Troque imediatamente qualquer senha que você suspeita ter sido comprometida. Não espere a confirmação de um incidente. A suspeita já é razão suficiente.

3.2. Autenticação de Dois Fatores: Obrigatório, Não Opcional

Mesmo que uma senha seja capturada, a autenticação multifator (MFA) impede que o acesso seja completado sem o segundo fator. Os pesquisadores da Cybernews foram explícitos: contas protegidas com MFA resistem ao comprometimento de credenciais mesmo em vazamentos desse tamanho.

Ative o MFA em todos os sistemas corporativos. E-mail, sistemas de gestão, VPN, repositórios de código, painéis de acesso a dados de clientes: todos.

Prefira aplicativos autenticadores (como Google Authenticator ou Microsoft Authenticator) ao recebimento de códigos por SMS. O SMS pode ser interceptado; o aplicativo, não.

Nunca compartilhe o código do segundo fator com ninguém. Nenhum sistema legítimo solicita esse código por telefone ou mensagem. Se alguém pedir, é golpe.

3.3. Dispositivos: Fronteira Entre o Pessoal e o Profissional

Não instale softwares não autorizados em dispositivos corporativos. Cada aplicativo instalado é uma superfície de risco adicional. Infostealers chegam frequentemente disfarçados de extensões de produtividade, ferramentas gratuitas ou versões “crackeadas” de softwares pagos.

Evite acessar sistemas corporativos a partir de dispositivos pessoais sem proteção adequada. Se a política da empresa permite acesso remoto por dispositivo pessoal, o mínimo esperado é antivírus atualizado, sistema operacional com atualizações em dia e ausência de softwares de procedência duvidosa.

Bloqueie o dispositivo sempre que se afastar, mesmo que por poucos minutos. Em ambientes de escritório compartilhado, um dispositivo desbloqueado é uma vulnerabilidade.

Relate imediatamente ao time de TI qualquer comportamento estranho do dispositivo: lentidão anormal, pop-ups inesperados, programas abrindo sozinhos ou atividade de rede em horários em que o dispositivo deveria estar ocioso.

3.4. E-mail e Mensagens: O Canal Preferido dos Atacantes

A maioria dos infostealers chega por e-mail ou mensagem. Reconhecer os padrões de ataque é a defesa mais eficaz.

Não abra anexos inesperados, mesmo que o remetente seja conhecido. Contas comprometidas de colegas são usadas para enviar malwares para contatos da agenda. O e-mail parece legítimo porque a conta é real.

Desconfie de links que criam urgência. “Sua senha expirará em 24 horas”, “Acesse para confirmar sua identidade”, “Documento aguardando assinatura”: esses padrões são clássicos de phishing. Acesse o sistema diretamente pelo endereço que você conhece, nunca pelo link recebido.

Verifique o domínio do remetente com atenção. Endereços como `[email protected]` ou `[email protected]ça.net` são falsos. O domínio legítimo de uma empresa é sempre simples e sem complementos.

Em caso de dúvida, não clique. Pergunte ao time de TI antes. Uma pergunta leva dois minutos. Um incidente de segurança pode levar semanas para ser resolvido.

—

4. Comportamento Digital Adequado na Vida Pessoal

Os dados pessoais de colaboradores também importam para a segurança da organização. Quando uma senha pessoal é comprometida, ela frequentemente abre caminho para credenciais corporativas. As boas práticas digitais não terminam na saída do escritório.

Use senhas diferentes para contas pessoais e profissionais. A separação entre os dois mundos começa aqui.

Ative o MFA em e-mail pessoal, redes sociais e contas bancárias. Essas contas são vetores frequentes de acesso a informações que permitem ataques mais sofisticados contra a organização onde você trabalha.

Cuidado com o que você compartilha nas redes sociais. Nome completo, data de nascimento, cidade, empresa onde trabalha, cargo, foto com crachá visível: essas informações são usadas para construir ataques de engenharia social personalizados. O atacante que sabe onde você trabalha, qual é o seu cargo e o nome do seu gerente pode construir um e-mail de phishing muito mais convincente.

Não use redes Wi-Fi públicas sem proteção para acessar sistemas corporativos. Redes abertas de aeroportos, hotéis e cafés podem ter o tráfego monitorado. Se precisar usar, ative a VPN corporativa antes de qualquer acesso.

Verifique periodicamente se suas credenciais aparecem em vazamentos conhecidos. Ferramentas como haveibeenpwned.com permitem verificar se um e-mail foi exposto em algum incidente público documentado. É uma verificação simples e gratuita que deveria ser feita a cada três meses.

Fique atento a contatos não solicitados em nome da sua empresa. Atacantes usam dados de redes sociais para se passar por fornecedores, parceiros ou até colegas de trabalho em ligações e mensagens. Em caso de solicitação de informações sensíveis por esses canais, confirme por um canal alternativo antes de responder.

—

5. O Papel da Organização: Cultura, Não Apenas Política

Regras escritas em política de segurança que ninguém leu não protegem ninguém. A segurança da informação depende de cultura: de pessoas que entendem o porquê das regras e que se sentem seguras para relatar um problema sem medo de punição.

Treinamento periódico é obrigação, não diferencial. A equipe precisa saber reconhecer phishing, entender o risco dos dispositivos pessoais e conhecer o canal correto para relatar incidentes suspeitos. Esse treinamento deve ser prático, com exemplos reais, e não apenas um módulo de leitura e clique.

O canal de reporte de incidentes deve ser simples e não punitivo. Colaboradores que têm medo de relatar um clique em link suspeito atrasam a resposta da organização e aumentam o dano potencial. O objetivo é saber rápido, não punir quem errou.

Revise periodicamente quem tem acesso ao quê. Credenciais corporativas de ex-colaboradores ainda ativas são um risco permanente. O procedimento de desligamento deve incluir, obrigatoriamente, o encerramento imediato de todos os acessos.

Implemente o princípio do menor privilégio. Cada colaborador deve ter acesso apenas ao que é necessário para a sua função. Um atacante que comprometer uma conta com acesso amplo causa dano muito maior do que um que comprometer uma conta com acesso restrito.

Monitore o ambiente. Logs de acesso, alertas de tentativas de autenticação malsucedidas, acessos em horários atípicos: essas informações, quando monitoradas, permitem identificar uma conta comprometida antes que o dano se expanda.

—

Conclusão: Segurança Digital é Decisão Cotidiana

Um banco de dados com 24 bilhões de credenciais expostas não é apenas uma estatística. É o resultado acumulado de decisões individuais e organizacionais inadequadas: senhas fracas reutilizadas, softwares baixados de fontes não confiáveis, cliques em links não verificados, dispositivos sem proteção acessando sistemas críticos.

A boa notícia é que a maioria dos comportamentos que expõem pessoas e organizações a esse tipo de risco pode ser modificada. Não exige investimento em tecnologia de ponta. Exige consciência, rotina e cultura.

Se este artigo chegou até você por indicação de um gestor, um colega ou um parceiro de negócios, é porque alguém entendeu que informação bem aplicada é a primeira camada de defesa. Compartilhe com quem precisa ler. O próximo megavazamento não vai avisar antes de acontecer.

—

Este artigo foi elaborado por Ricardo Luiz Peixoto, profissional de Tecnologia da Informação com mais de 30 anos de experiência, especializado em segurança de dados e conformidade com foco na área da saúde. Certificado como DPO pela HDPO e treinado no processo CIS Controls V8. Parceiro consultor independente da HDPO. LinkedIn

Baseado na Lei nº 13.709/2018 (LGPD), nas recomendações da ANPD e na reportagem publicada pelo Olhar Digital em 17/06/2026, com base em investigação da Cybernews. Recomenda-se consulta especializada para aplicação das orientações ao contexto específico de cada organização.