Especialista alerta para riscos após descoberta de credenciais não criptografadas de Apple, Google, Facebook e mais em servidor desprotegido
Um gigantesco vazamento de dados expôs credenciais de acesso de Apple ID, Google, Facebook, Microsoft, PayPal e outras plataformas populares. Ao todo, foram encontrados 184 milhões de registros, incluindo senhas em texto simples, armazenados em um servidor sem qualquer tipo de proteção.
Banco de dados com senhas expostas é um “sonho de cibercriminoso”
O pesquisador de segurança Jeremiah Fowler foi o responsável por descobrir o banco de dados não protegido, que ocupava mais de 47 GB de informações brutas. De acordo com ele, a base de dados representa um verdadeiro “sonho de trabalho para cibercriminosos”, contendo informações altamente sensíveis como:
- E-mails
- Nomes de usuário
- Senhas sem criptografia
- Links diretos para páginas de login
Além de contas da Apple, também foram identificadas credenciais para:
- Amazon
- Discord
- Microsoft
- PayPal
- Snapchat
- Twitter (X)
- WordPress
- Yahoo
- Plataformas bancárias e governamentais
Fowler conseguiu confirmar a veracidade dos dados ao entrar em contato com algumas vítimas, que reconheceram suas credenciais reais no vazamento.
Vazamento pode ter origem em malware tipo infostealer
Segundo o especialista, os dados provavelmente foram coletados por malware conhecido como infostealer, que rouba credenciais armazenadas em navegadores, e-mails, apps de mensagens, cookies e até carteiras de criptomoedas.
“Os sinais apontam para malware infostealer, frequentemente disseminado por meio de e-mails de phishing ou softwares piratas”, afirmou Fowler.
Risco elevado com acesso a contas de e-mail
Um dos maiores perigos citados é o acesso a contas de e-mail como Gmail ou Yahoo. Como muitos usuários tratam a caixa de entrada como uma espécie de “armazenamento em nuvem gratuito”, documentos como declarações de imposto de renda, registros médicos e contratos pessoais podem ser acessados por criminosos, expondo vítimas a fraudes, roubo de identidade e chantagem.
Medidas recomendadas de segurança
Fowler alerta para práticas básicas de cibersegurança que todos os usuários devem adotar imediatamente:
- Trocar senhas regularmente, especialmente as utilizadas em vários serviços
- Ativar autenticação em dois fatores (2FA)
- Evitar salvar senhas em navegadores sem proteção
- Excluir e-mails antigos com dados sensíveis
- Evitar softwares piratas e links de fontes desconhecidas
A empresa de hospedagem do servidor onde o banco de dados foi encontrado já limitou o acesso à base, mas não revelou a identidade do responsável pelo vazamento.