Pesquisadores de segurança cibernética da Synthient descobriram uma coleção de 183 milhões de senhas de e-mail, incluindo milhões de contas do Gmail, expostas por meio de campanhas de malware infostealer. Os dados apareceram no banco de dados Have I Been Pwned em 21 de outubro de 2025, devido ao monitoramento de canais subterrâneos, marcando um dos maiores vazamentos de credenciais do ano. O Google abordou o incidente publicamente, rejeitando alegações de violação direta de segurança do Gmail. Em comunicado nas redes sociais, a empresa declarou que “os relatos de uma ‘violação de segurança do Gmail afetando milhões de usuários’ são falsos”. As autoridades enfatizaram que as credenciais comprometidas se originaram de infecções por malware em dispositivos de usuários individuais, e não de qualquer vulnerabilidade na infraestrutura de servidores do Gmail. Esta distinção destaca como os dados foram recolhidos através de ameaças persistentes que visam sistemas de utilizadores finais, em vez de falhas de serviços centralizados. O conjunto de dados resulta de quase um ano de monitoramento intensivo pela Synthient, uma empresa de segurança cibernética focada no rastreamento de atividades de infostealers. Os pesquisadores observaram credenciais sendo compartilhadas e vendidas em plataformas como Telegram, vários sites de mídia social e fóruns da dark web. Estas redes subterrâneas servem como centros onde os cibercriminosos trocam informações roubadas obtidas de máquinas infectadas em todo o mundo. Troy Hunt, o criador e mantenedor do serviço Have I Been Pwned, analisado a submissão e confirmou a sua escala, observando que compreende 3,5 terabytes de dados abrangendo 23 mil milhões de registos no total. Para autenticar o conteúdo, Hunt entrou em contato com os usuários listados no vazamento. Um assinante afetado respondeu afirmativamente, afirmando que as informações vazadas correspondiam a “uma senha precisa para minha conta do Gmail”. Este processo de verificação envolveu o cruzamento de detalhes com violações conhecidas e relatórios de usuários, garantindo a legitimidade do conjunto de dados. Os próprios registros consistem em elementos específicos capturados durante as interações do usuário: URLs de sites onde ocorreram os logins, endereços de e-mail associados e as senhas correspondentes inseridas nesses sites. Todas essas informações foram coletadas automaticamente de dispositivos já comprometidos por malware, muitas vezes durante atividades on-line rotineiras, como verificação de e-mail ou acesso a portais bancários. A análise do conjunto de dados revela padrões no histórico de exposição. Precisamente 91% das credenciais surgiram em violações de dados anteriores documentadas em outros lugares. Em contraste, cerca de 16,4 milhões de endereços de e-mail representavam entradas inteiramente novas, nunca antes identificadas em quaisquer registos de violação. A inclusão de senhas atualmente ativas aumenta o potencial de ataques de preenchimento de credenciais, onde os invasores usam essas combinações válidas para tentar acesso não autorizado em diversas plataformas, explorando a reutilização de detalhes de login em vários serviços. O malware Infostealer proliferou como um importante vetor de ameaças. Os pesquisadores registraram um aumento de 800% no número de credenciais roubadas somente durante os primeiros seis meses de 2025. Esses programas funcionam secretamente em sistemas infectados, extraindo metodicamente dados confidenciais, incluindo credenciais de login, informações armazenadas do navegador e tokens de sessão ativa, sem acionar alertas óbvios. Benjamin Brundage, pesquisador da Synthient, detalhou como suas ferramentas de vigilância capturaram picos de até 600 milhões de credenciais roubadas processadas em um único dia durante períodos de atividade intensa de malware. O malware se dissemina principalmente por meio de canais enganosos. Os vetores comuns incluem e-mails de phishing que enganam os destinatários para que abram anexos ou links maliciosos, downloads de software aparentemente legítimo com código prejudicial e extensões de navegador que foram adulteradas para incluir backdoors. Em muitos casos, as infecções persistem sem serem detectadas por longos períodos, permitindo a exfiltração prolongada de dados à medida que os usuários continuam a usar o dispositivo normalmente. Em resposta, o Google recomenda medidas de proteção específicas para usuários em risco. A ativação da verificação em duas etapas adiciona uma camada adicional de segurança além das senhas, exigindo uma segunda forma de autenticação, como um código móvel. A empresa também promove as chaves de acesso como uma alternativa robusta às senhas convencionais, aproveitando os padrões criptográficos para maior proteção contra phishing e roubo. Os indivíduos podem verificar se seus endereços de e-mail ou credenciais estão incluídos neste vazamento pesquisando no site Have I Been Pwned. Aqueles que encontrarem correspondências devem atualizar imediatamente suas senhas para versões exclusivas e fortes e ativar a autenticação multifator em todas as contas relevantes para mitigar riscos adicionais.
