AIO APEX
Security

Pesquisadores encontram 24 bilhões de credenciais roubadas em um dump de infostealer de 8,3 TB exposto online

Cybernews
Compartilhar:
Pesquisadores encontram 24 bilhões de credenciais roubadas em um dump de infostealer de 8,3 TB exposto online

Pesquisadores do Cybernews descobriram o que descrevem como um dos maiores dumps de credenciais já encontrados: um cluster Elasticsearch não protegido contendo 24 bilhões de registros totalizando mais de 8,3 terabytes de dados. A coleção foi encontrada em 12 de junho de 2026, e o banco de dados foi retirado do ar ou protegido até 15 de junho. Embora a janela de exposição imediata tenha se fechado, os dados em si — compilados a partir de logs de malware infostealer, canais do Telegram e compilações de violações existentes — continuam em circulação onde quer que tenham sido compartilhados antes da descoberta.

A escala coloca esse vazamento em uma categoria própria. A compilação RockYou2021 de 2021, amplamente citada como a maior lista de credenciais já publicada, continha 8,4 bilhões de registros. O lançamento RockYou2024 em 2024 expandiu isso para quase 10 bilhões. Com 24 bilhões de registros, esta coleção é mais que o dobro de qualquer uma delas, e a composição importa: ao contrário de compilações mais antigas que são principalmente dados reciclados, uma parte significativa deste dump vem de logs infostealer frescos, ou seja, credenciais roubadas recentemente que ainda não foram amplamente rotacionadas.

O Que São Logs de Infostealer e Por Que São Piores Que Dumps de Banco de Dados

Bancos de dados de violação tradicionais contêm credenciais roubadas quando um serviço específico é comprometido; eles tendem a incluir senhas com hash que exigem quebra e geralmente estão desatualizados por anos quando aparecem em dumps. Logs de infostealer são diferentes. Eles são gerados por malware executado em dispositivos infectados: software que captura senhas armazenadas no navegador, credenciais de preenchimento automático e cookies de sessão em texto simples no momento em que são usados.

Isso significa que logs de infostealer contêm credenciais funcionais a partir da data da infecção. Eles evitam a necessidade de quebrar hashes. Eles geralmente incluem a URL de login associada, tornando trivial combinar uma senha com o serviço que ela desbloqueia. E porque puxam credenciais do armazenamento do navegador da máquina infectada, frequentemente capturam senhas que os usuários não mudam há anos — aquelas que estão no gerenciador de senhas ou no preenchimento automático do navegador nas quais pararam de pensar.

Os 24 bilhões de registros nesta coleção foram compilados de pelo menos 36 fontes diferentes: vários canais do Telegram onde operadores de infostealer vendem logs, compilações de violações existentes e o que os pesquisadores descrevem como dados que parecem ter sido exportados diretamente de servidores ativos, sugerindo que uma parte dos dados estava muito recentemente ativa.

Quem Encontrou e O Que Aconteceu

A equipe de pesquisa do Cybernews identificou o banco de dados exposto em 12 de junho como parte de uma varredura contínua de instâncias de armazenamento em nuvem e banco de dados expostas publicamente. O cluster estava acessível sem autenticação — uma configuração incorreta que deixou todos os 8,3 terabytes legíveis para qualquer um que encontrasse o endereço IP. O proprietário do banco de dados não foi identificado publicamente. Os pesquisadores especulam que os dados podem pertencer a um ator de ameaça que os usa como um banco de dados operacional de credenciais, ou a uma empresa de segurança que agrega dados de violação para serviços de monitoramento — embora a exposição em texto simples e a falta de controles de acesso aparentes tornem a teoria da empresa de segurança menos plausível.

O banco de dados foi protegido ou retirado do ar até 15 de junho, três dias após a descoberta. A janela de exposição desprotegida é desconhecida — pode ter sido dias ou meses.

O Risco de Credential Stuffing

O risco prático desse tipo de vazamento é o credential stuffing: ferramentas automatizadas que pegam pares de nome de usuário-senha de bancos de dados de violação e os testam contra serviços ativos em grande escala. Serviços sem limitação de taxa, bloqueio de IP ou autenticação multifator obrigatória são particularmente vulneráveis.

Pesquisadores de segurança e fornecedores, incluindo Malwarebytes e TechRadar, que cobriram a divulgação do Cybernews, enfatizam que os usuários de maior risco são aqueles que reutilizam senhas em vários serviços — o que, de acordo com a maioria das pesquisas, é a maioria dos usuários. Uma credencial neste dump que corresponde à senha bancária de um usuário, senha de e-mail ou senha de VPN corporativa cria um risco imediato de apropriação de conta, independentemente de onde a credencial foi originalmente roubada.

O Que Fazer

O conselho padrão se aplica e continua sendo a resposta certa: use um gerenciador de senhas para gerar senhas únicas para cada serviço, ative a autenticação multifator sempre que disponível e fique atento a alertas de atividade de conta de seus provedores de e-mail e financeiros. Espera-se que serviços como HaveIBeenPwned ingiram dados de credenciais dessa escala assim que forem disponibilizados pelos pesquisadores; vale a pena verificar seu endereço de e-mail lá nos próximos dias.

Para equipes de segurança em organizações: este dump deve ser tratado como um gatilho para auditar se alguma credencial de funcionário aparece em bancos de dados de violação publicamente disponíveis e para impor a rotação de senhas para qualquer correspondência. Dado que os dados são compilados de logs de infostealer, credenciais corporativas de funcionários com dispositivos pessoais infectados estão particularmente em risco.

data-breachinfostealerpassword-securitycredential-leakcredential-stuffing

Originally reported by Cybernews. Read the original article for additional details.

View original source
Compartilhar: