149 milhões de senhas: o “mega vazamento” que nasceu no endpoint

Em janeiro de 2026, deparamos com a notícia de que se identificou um banco de dados exposto na internet com cerca de 149 milhões de combinações de usuário e senha, totalizando aproximadamente  ~96–98 GB de dados brutos. Entre as credenciais, havia logins associados a serviços como e-mail, redes sociais, streaming, serviços financeiros e até sistemas governamentais.

Relatos públicos indicam que esse conjunto foi montado ao longo do tempo a partir de logs de infostealers, malwares especializados em roubar informações diretamente de dispositivos comprometidos. Em vez de explorarem uma falha em um único provedor, os criminosos agregam credenciais coletadas em escala global, de vítimas diversas, criando uma espécie de “wish list” para ataques futuros a qualquer alvo que reutilize aquelas senhas.

Esse caso reforça um ponto incômodo para as empresas: muitas das credenciais expostas não nasceram de uma brecha interna em aplicações corporativas, mas da combinação entre dispositivos pessoais ou de trabalho infectados, hábitos frágeis de senha e falta de higiene de identidade ao longo do tempo.

O mito do “Mega Vazamento” vs. A Realidade dos Info Stealers

Muitas vezes, a discussão sobre grandes vazamentos foca no local onde os dados foram encontrados (como fóruns na Dark Web), mas ignora a origem da infecção. O volume intenso de fraudes digitais no Brasil, que contribuiu para perdas de R$ 10,1 bilhões em 2024, reflete uma sofisticação crescente no uso de vetores que capturam informações diretamente no endpoint. Os Info Stealers são projetados para sequestrar sessões, capturar cookies de autenticação, senhas salvas em navegadores e até chaves de recuperação de carteiras digitais enquanto o usuário permanece inconsciente do ataque.

Diferente de ataques tradicionais que visam apenas credenciais estáticas, malwares modernos operam em tempo real. Eles exploram o fator humano através de engenharia social, como e-mails de phishing com faturas falsas (NF-e) ou anúncios maliciosos em redes sociais, induzindo o colaborador a baixar arquivos que parecem legítimos. De acordo com dados de especialistas, o Brasil registra mais de um milhão de tentativas de fraude por mês, o que equivale a uma nova investida a cada 2,2 segundos. Esse cenário prova que a higiene de credenciais e o monitoramento fora do perímetro tradicional tornaram-se vitais para a continuidade do negócio.

Como funcionam os infostealers e por que eles escalam tão bem

Infostealers capturam dados sensíveis armazenados ou usados no dia a dia, como logins, senhas, cookies de sessão e URLs de autenticação. Eles varrem navegadores, fazem keylogging em tempo real e extraem tokens de aplicativos corporativos.
Esses “logs” são enviados a servidores de controle e revendidos ou agregados em bases massivas, como a dos 149 milhões de registros. Esses acervos são indexados por serviço ou domínio, facilitando testes automatizados contra qualquer alvo.
O segredo da escala está na infecção massiva de endpoints: não é preciso mirar uma empresa específica. O reaproveitamento de senhas e a falta de monitoramento fazem o resto, transformando cada colaborador em vetor potencial.

Malwares como:

• RedLine Stealer
• Raccoon Stealer
• Vidar
• LummaC2

São especializados em:

• Extração de credenciais de navegadores (Chrome, Edge, Firefox)
• Cookies de sessão (session hijacking)
• Tokens OAuth
• Dados de carteiras cripto
• Informações de VPN e RDP

Do dispositivo à crise corporativa: impacto nas identidades e contas privilegiadas

Do ponto de vista corporativo, o risco central não é apenas uma conta de streaming comprometida, mas a combinação perigosa entre credenciais reaproveitadas, Single Sign-On (SSO) e contas com privilégios excessivos.
O risco é significativamente reduzido quando há MFA resistente a phishing (FIDO2/WebAuthn). O cenário torna-se mais crítico quando há reutilização de senha sem MFA forte ou quando tokens de sessão válidos são exfiltrados.

Quando um infostealer obtém usuário, senha e a URL de autenticação de um colaborador, o atacante ganha vários caminhos possíveis:

• Acesso a e-mail corporativo: com a conta de e-mail em mãos, ataques de Business Email Compromise e reset de senhas em outros sistemas tornam-se muito mais viáveis.
• Abuso de SSO: se a mesma senha (ou uma variação simples) é usada no provedor de identidade, o invasor pode testar credenciais em portais internos, VPN, sistemas de RH e ERP, muitas vezes com pouca fricção adicional.​
• Escalada de privilégio: uma credencial de um usuário com papel ampliado ou de um administrador pouco segmentado abre portas para modificar acessos, criar novas contas e alcançar dados sensíveis.​

Bases massivas de credenciais baseadas em infostealers mostram logins ligados a domínios governamentais, serviços financeiros, plataformas digitais e grandes empresas. Para atacantes, isso alimenta campanhas automatizadas de credential stuffing que testam senhas em múltiplos serviços até encontrar uma combinação funcional.

Na linguagem do board, o roteiro é conhecido: “o incidente começou fora” (em um notebook pessoal ou endpoint de um colaborador), mas o impacto foi totalmente interno, com acesso indevido a sistemas, risco de fraude, possibilidade de vazamento e até extorsão. A partir do momento em que o atacante entra com um login válido, a linha entre ambiente pessoal e ambiente corporativo praticamente desaparece.

Por que a resposta passa pela cadeia de identidade

A discussão em torno dos 149 milhões de credenciais expostas reforça que não basta proteger a rede se a cadeia de identidade continua frágil. Alguns princípios tornam‑se prioritários:

• Higiene de credenciais: senhas únicas, fortes e não reaproveitadas; uso de gestores de senha; políticas claras sobre contas pessoais e corporativas.
• MFA robusto: autenticação multifator resistente a phishing e troca de SIM, preferindo aplicativos autenticadores ou chaves físicas a SMS.
• Rotação e revogação: ciclos de troca de senhas e revogação rápida de sessões suspeitas quando um sinal de comprometimento é detectado.
• Monitoramento fora do perímetro: vigilância ativa de credenciais expostas em bases públicas, fóruns e dumps ligados a infostealers, correlacionando achados com identidades da organização.​ A eficácia desse monitoramento depende da qualidade dos feeds de inteligência e da capacidade interna de correlação entre domínios corporativos, aliases e identidades reais.

Especialistas apontam que muitos desses acervos misturam senhas antigas e recentes, o que significa que uma parte da base já não é válida, mas outra parte continua perfeitamente utilizável. Do ponto de vista de risco, isso obriga empresas a assumir que credenciais de colaboradores podem estar circulando sem que haja qualquer alerta imediato no SOC.
Tratar a identidade como o novo perímetro deixa de ser apenas discurso e passa a ser requisito operacional. A empresa precisa saber quem tem acesso a quê, por quanto tempo e com qual nível de privilégio e, principalmente, precisa conseguir reduzir rapidamente a “superfície de estrago” quando uma credencial cai.​

A resposta estratégica: visibilidade, governança e contenção

Frente a esse fluxo (endpoint infectado, credencial roubada, teste corporativo), a defesa precisa operar em camadas conectadas, do sinal inicial à redução de impacto.
Começa com detecção fora do perímetro: um Cyber Fusion Center (CFC) monitora abusos de login anômalos (geolocalização estranha, falhas de MFA) e correlaciona com dumps públicos de credenciais, acionando contenção imediata (bloqueio de contas, isolamento de endpoints) antes da escalada.

Na camada de identidade, governança com SailPoint limita o estrago: mapeia acessos, aplica menor privilégio e automatiza revisões, garantindo que uma credencial vazada não dê acesso amplo a sistemas críticos. Isso fecha brechas de movimentação lateral que infostealers exploram via SSO.

Quando o alvo é o núcleo sensível, CyberArk protege contas privilegiadas: isola senhas administrativas em cofres, monitora sessões e rotaciona credenciais pós-incidente, frustrando tentativas de escalada.

Cyber Threat Intelligence (CTI) Asper atua de forma proativa na antecipação de riscos, realizando monitoramento ativo contínuo de vazamentos de dados, fóruns da deep e dark web, marketplaces clandestinos e campanhas maliciosas em andamento. A equipe correlaciona essas informações com indicadores técnicos (IOCs), TTPs e padrões comportamentais, entregando inteligência contextualizada e acionável que permite detecção precoce, redução do tempo de exposição e tomada de decisão estratégica baseada em risco real.

Por fim, se o endpoint comprometido é de um desenvolvedor, Venafi blinda a cadeia de suprimentos: centraliza chaves de assinatura de código, aplica auditoria e integra com DevSecOps, impedindo que credenciais roubadas virem malwares assinados disfarçados de atualizações legítimas.​

Essa sequência de detecção no CFC, governança via SailPoint, proteção privilegiada com CyberArk e integridade com Venafi, alinha visibilidade inicial à redução de impacto final, transformando risco difuso em defesa estruturada.

Credenciais vazadas são o alarme para ação imediata

As milhões de credenciais expostas mostram que o cibercrime já tem o “estoque” pronto para testar contra sua empresa. Não é mais questão de “se” uma senha do seu time está circulando em fóruns clandestinos, mas de quão preparado você está para quando ela for usada.

Em termos de segurança da informação, o vazamento de credenciais (usuário, e-mail corporativo, senha, hash, token ou cookie de sessão) representa indicador crítico de comprometimento (IoC) e deve ser tratado como incidente de segurança em potencial, mesmo que ainda não haja evidência de exploração ativa.

Por que é crítico?

Acesso não autorizado

Credenciais válidas permitem bypass de controles tradicionais, inclusive MFA mal configurado ou vulnerável a fadiga de push.

Movimentação lateral (Lateral Movement)

Um único acesso inicial pode ser expandido para outros ativos internos via reutilização de senha ou privilégios excessivos.

Escalonamento de privilégios

Contas administrativas ou com permissões elevadas ampliam o impacto e reduzem o tempo de detecção.

Ataques subsequentes

• Business Email Compromise (BEC)
• Ransomware
• Exfiltração de dados
• Fraudes financeiras

Credencial vazada não é apenas exposição passiva é porta aberta com potencial operacional imediato.

Atualmente, a maioria dos ataques iniciais não explora vulnerabilidades técnicas complexas explora credenciais válidas obtidas via phishing ou infostealers.

Ações prioritárias para time de segurança responsável:

• Revise senhas reaproveitadas, imponha MFA robusto (não SMS) e monitore dumps públicos.
• Priorize governança de identidade e redução de privilégios excessivos.​
• Integre detecção comportamental 24×7 com resposta automatizada.​

Na Asper, ajudamos empresas a navegar esse cenário com proatividade: do monitoramento de sinais precoces à blindagem de identidades críticas, garantindo continuidade mesmo quando o risco já atravessou o perímetro tradicional. A diferença entre incidente e crise é governar a identidade com a mesma velocidade com que os infostealers coletam dados.​

Quer avaliar sua exposição? Uma análise rápida revela se credenciais da sua organização já circulam em bases como essa, e como mitigar antes que virem manchete.