Quem: o pesquisador de cibersegurança Jeremiah Fowler.
O que: identificação de um banco de dados público com 149 milhões de combinações de login e senha.
Onde: servidor sem proteção de senha ou criptografia, acessível na internet.
Quando: descoberta relatada à ExpressVPN e publicada em relatório nesta semana (23/01/2026).
Como: as credenciais teriam sido capturadas por malwares do tipo infostealer, que enviam dados roubados a repositórios em nuvem.
Por que importa: o volume de informações aumenta o risco de fraudes, spear phishing e tentativas de invasão automatizadas.
Banco de dados somava 96 GB
Segundo Fowler, o arquivo totalizava 96 GB de dados brutos com endereços de e-mail, nomes de usuário, senhas e links diretos para páginas de login. Qualquer pessoa que localizasse a URL do servidor podia acessar todo o conteúdo.
Serviços atingidos
A amostra analisada trazia registros de plataformas populares como Facebook (17 milhões), Instagram (6,5 milhões), Netflix (3,4 milhões), TikTok (780 mil) e OnlyFans (100 mil). Também havia credenciais de carteiras de criptomoedas, bancos, cartões de crédito e domínios .gov de vários países, inclusive do Brasil.
Entre os provedores de e-mail, a lista continha aproximadamente:
- Gmail: 48 milhões
- Yahoo: 4 milhões
- Outlook: 1,5 milhão
- iCloud: 900 mil
- Endereços .edu: 1,4 milhão
Notificação e retirada do ar
Sem identificar o responsável pela base, Fowler notificou o provedor de hospedagem. Foram quase quatro semanas e várias tentativas de contato até que o acesso fosse bloqueado. O provedor informou apenas que o servidor pertencia a uma subsidiária independente e não revelou se os dados haviam sido usados para fins ilícitos ou de pesquisa.
Riscos apontados
Para o pesquisador, a exposição facilita ataques de credential stuffing, em que criminosos testam combinações de e-mail e senha em diversos serviços. A associação entre endereços de e-mail e plataformas permite ainda a montagem de perfis detalhados das vítimas, favorecendo extorsão, roubo de identidade e campanhas de phishing.
Recomendações básicas
Fowler reforça a necessidade de autenticação em duas etapas, troca imediata de senhas, verificação de histórico de login e uso de gerenciadores de senhas. Ele destaca que a simples alteração de credenciais não é suficiente se o dispositivo continuar infectado por malware.
Posicionamento oficial
O Google informou monitorar atividades externas e afirmou que possui mecanismos automáticos para bloquear contas e forçar redefinições de senha sempre que detecta credenciais expostas.
Fowler declarou que não baixou nem armazenou os dados; sua atuação se limitou a documentar a vulnerabilidade e a alertar o provedor.
Com informações de Olhar Digital
