12 de fevereiro de 2026

Em janeiro de 2026, deparamos com a notícia de que se identificou um banco de dados exposto na internet com cerca de 149 milhões de combinações de usuário e senha, totalizando aproximadamente  ~96–98 GB de dados brutos. Entre as credenciais, havia logins associados a serviços como e-mail, redes sociais, streaming, serviços financeiros e até sistemas governamentais. Relatos públicos indicam que esse conjunto foi montado ao longo do tempo a partir de logs de infostealers, malwares especializados em roubar informações diretamente de dispositivos comprometidos. Em vez de explorarem uma falha em um único provedor, os criminosos agregam credenciais coletadas em escala global, de vítimas diversas, criando uma espécie de “wish list” para ataques futuros a qualquer alvo que reutilize aquelas senhas. Esse caso reforça um ponto incômodo para as empresas: muitas das credenciais expostas não nasceram de uma brecha interna em aplicações corporativas, mas da combinação entre dispositivos pessoais ou de trabalho infectados, hábitos frágeis de senha e falta de higiene de identidade ao longo do tempo. O mito do “Mega Vazamento” vs. A Realidade dos Info Stealers Muitas vezes, a discussão sobre grandes vazamentos foca no local onde os dados foram encontrados (como fóruns na Dark Web), mas ignora a origem da infecção. O volume intenso de fraudes digitais no Brasil, que contribuiu para perdas de R$ 10,1 bilhões em 2024, reflete uma sofisticação crescente no uso de vetores que capturam informações diretamente no endpoint. Os Info Stealers são projetados para sequestrar sessões, capturar cookies de autenticação, senhas salvas em navegadores e até chaves de recuperação de carteiras digitais enquanto o usuário permanece inconsciente do ataque. Diferente de ataques tradicionais que visam apenas credenciais estáticas, malwares modernos operam em tempo real. Eles exploram o fator humano através de engenharia social, como e-mails de phishing com faturas falsas (NF-e) ou anúncios maliciosos em redes sociais, induzindo o colaborador a baixar arquivos que parecem legítimos. De acordo com dados de especialistas, o Brasil registra mais de um milhão de tentativas de fraude por mês, o que equivale a uma nova investida a cada 2,2 segundos. Esse cenário prova que a higiene de credenciais e o monitoramento fora do perímetro tradicional tornaram-se vitais para a continuidade do negócio. Como funcionam os infostealers e por que eles escalam tão bem Infostealers capturam dados sensíveis armazenados ou usados no dia a dia, como logins, senhas, cookies de sessão e URLs de autenticação. Eles varrem navegadores, fazem keylogging em tempo real e extraem tokens de aplicativos corporativos.Esses “logs” são enviados a servidores de controle e revendidos ou agregados em bases massivas, como a dos 149 milhões de registros. Esses acervos são indexados por serviço ou domínio, facilitando testes automatizados contra qualquer alvo.O segredo da escala está na infecção massiva de endpoints: não é preciso mirar uma empresa específica. O reaproveitamento de senhas e a falta de monitoramento fazem o resto, transformando cada colaborador em vetor potencial. Malwares como: São especializados em: Do dispositivo à crise corporativa: impacto nas identidades e contas privilegiadas Do ponto de vista corporativo, o risco central não é apenas uma conta de streaming comprometida, mas a combinação perigosa entre credenciais reaproveitadas, Single Sign-On (SSO) e contas com privilégios excessivos.O risco é significativamente reduzido quando há MFA resistente a phishing (FIDO2/WebAuthn). O cenário torna-se mais crítico quando há reutilização de senha sem MFA forte ou quando tokens de sessão válidos são exfiltrados. Quando um infostealer obtém usuário, senha e a URL de autenticação de um colaborador, o atacante ganha vários caminhos possíveis: Bases massivas de credenciais baseadas em infostealers mostram logins ligados a domínios governamentais, serviços financeiros, plataformas digitais e grandes empresas. Para atacantes, isso alimenta campanhas automatizadas de credential stuffing que testam senhas em múltiplos serviços até encontrar uma combinação funcional. Na linguagem do board, o roteiro é conhecido: “o incidente começou fora” (em um notebook pessoal ou endpoint de um colaborador), mas o impacto foi totalmente interno, com acesso indevido a sistemas, risco de fraude, possibilidade de vazamento e até extorsão. A partir do momento em que o atacante entra com um login válido, a linha entre ambiente pessoal e ambiente corporativo praticamente desaparece. Por que a resposta passa pela cadeia de identidade A discussão em torno dos 149 milhões de credenciais expostas reforça que não basta proteger a rede se a cadeia de identidade continua frágil. Alguns princípios tornam‑se prioritários: Especialistas apontam que muitos desses acervos misturam senhas antigas e recentes, o que significa que uma parte da base já não é válida, mas outra parte continua perfeitamente utilizável. Do ponto de vista de risco, isso obriga empresas a assumir que credenciais de colaboradores podem estar circulando sem que haja qualquer alerta imediato no SOC.Tratar a identidade como o novo perímetro deixa de ser apenas discurso e passa a ser requisito operacional. A empresa precisa saber quem tem acesso a quê, por quanto tempo e com qual nível de privilégio e, principalmente, precisa conseguir reduzir rapidamente a “superfície de estrago” quando uma credencial cai.​ A resposta estratégica: visibilidade, governança e contenção Frente a esse fluxo (endpoint infectado, credencial roubada, teste corporativo), a defesa precisa operar em camadas conectadas, do sinal inicial à redução de impacto.Começa com detecção fora do perímetro: um Cyber Fusion Center (CFC) monitora abusos de login anômalos (geolocalização estranha, falhas de MFA) e correlaciona com dumps públicos de credenciais, acionando contenção imediata (bloqueio de contas, isolamento de endpoints) antes da escalada. Na camada de identidade, governança com SailPoint limita o estrago: mapeia acessos, aplica menor privilégio e automatiza revisões, garantindo que uma credencial vazada não dê acesso amplo a sistemas críticos. Isso fecha brechas de movimentação lateral que infostealers exploram via SSO. Quando o alvo é o núcleo sensível, CyberArk protege contas privilegiadas: isola senhas administrativas em cofres, monitora sessões e rotaciona credenciais pós-incidente, frustrando tentativas de escalada. Cyber Threat Intelligence (CTI) Asper atua de forma proativa na antecipação de riscos, realizando monitoramento ativo contínuo de vazamentos de dados, fóruns da deep e dark web, marketplaces clandestinos e campanhas maliciosas em andamento. A equipe correlaciona essas