Um megavazamento com cerca de 16 bilhões de logins e senhas atribuídos a serviços como Apple, Google e Facebook não representa, necessariamente, uma nova ofensiva inédita.
Segundo análise do portal especializado Cybernews, parte das credenciais reunidas já havia sido exposta anteriormente, o que levanta dúvidas sobre a real dimensão do impacto. A apuração indica sobreposição de dados, entradas duplicadas e reaproveitamento de vazamentos antigos.
Continua após a publicidade
Os registros foram agrupados a partir de 30 bases diferentes, cada uma contendo entre dezenas de milhões e até 3,5 bilhões de combinações. Ainda assim, os próprios autores do levantamento admitem que não é possível saber com exatidão quantas contas ou pessoas foram, de fato, atingidas. “Não sabemos exatamente quantos registros duplicados existem, já que o vazamento vem de múltiplos conjuntos de dados”, escreveu a equipe do Cybernews.
A redação do VTVNews preparou um material ao fim da matéria explicando como verificar se suas credenciais foram comprometidas. Nas redes sociais, internautas passaram a se queixar de “movimentações incomum” nas redes sociais, como a plataforma de streaming, TwitchTV.
Rapazeada, faço live na @TwitchBR tem 7 anos e nunca doei bits.
— VelhoVamp1 (@VelhoVamp1) June 17, 2025
Depois desse vazamento de dados acordei com a doação de vários bits, passou pela verificação de 2 etapas da twitch/paypal/itaú..
Troquem suas senhas e verifiquem a wallet.
incrível kkk
bjos pic.twitter.com/gfi3wmptIB
Credenciais recicladas
Apesar de informar que “os dados são recentes e não meramente reciclados de violações antigas”, o Cybernews reconheceu a repetição de pelo menos um conjunto previamente identificado: em maio, a revista Wired relatou a descoberta de um “banco de dados misterioso” com 184 milhões de senhas — número que, segundo os analistas, sequer aparece entre os vinte maiores pacotes de dados do levantamento atual.
A estrutura das informações, dispostas em formato de URL, login e senha, amplia o risco de exploração por grupos especializados em crimes cibernéticos. Boa parte das credenciais foi obtida por meio de infostealers, malwares capazes de capturar tudo o que a vítima digita — de senhas a dados bancários — e enviar os conteúdos a operadores na dark web.
Segundo o Cybernews, essas credenciais já circulam em fóruns clandestinos, disponíveis por valores acessíveis, o que amplia o potencial de ataques automatizados a contas em redes sociais, sistemas corporativos e plataformas financeiras.
As empresas não esclareceram se usuários brasileiros estão entre os afetados.
Fui alvo do vazamento?
Usuários que desejam verificar se seus dados pessoais já foram expostos em vazamentos online podem contar com o auxílio de uma plataforma gratuita chamada Have I Been Pwned?, que reúne registros de incidentes de segurança digital no mundo todo. O site permite consultar, por meio do endereço de e-mail, se alguma informação pessoal foi comprometida.
O serviço funciona de forma simples: basta acessar https://haveibeenpwned.com/, digitar o e-mail no campo indicado e clicar em “pwned?”. Caso apareça um fundo verde com a mensagem “Good news – no pwnage found!”, significa que o endereço não foi identificado em nenhum vazamento mapeado pela ferramenta. Já um fundo vermelho aponta que a conta foi comprometida. Ao rolar a página, o site detalha em quais vazamentos os dados apareceram.
Além de e-mails, o site também permite testar se uma senha já foi divulgada na internet. No menu “Password”, o usuário pode digitar sua senha no campo e verificar o status. O aviso em vermelho indica exposição; em verde, que a senha não está presente nos bancos de dados públicos monitorados.
Entre os recursos disponíveis fora da plataforma, o Google oferece ferramentas integradas à conta do usuário para reforçar a segurança. É possível acessar o painel de “Privacidade e segurança” da conta Google e ativar um resumo de segurança, que indica se senhas salvas foram comprometidas.
Outra sinalização comum de risco é o recebimento de e-mails com códigos de autenticação ou alertas de tentativas de login que o usuário não realizou. Esse tipo de atividade pode indicar que terceiros estão tentando acessar contas vinculadas ao endereço eletrônico.
Boas práticas de proteção digital
Para evitar que dados pessoais sejam facilmente acessados em casos de vazamentos, o uso de senhas fortes é fundamental. Especialistas recomendam que as senhas contenham, no mínimo, dez caracteres e combinem letras maiúsculas, minúsculas, números e símbolos — de preferência, formando frases aleatórias sem sentido direto.
Também é indicado alterar as senhas a cada três meses, evitando repetições ou padrões semelhantes às anteriores. Criar combinações fortes, porém memorizáveis, é essencial para evitar a anotação em locais inseguros.
Outro recurso amplamente difundido é a autenticação de dois fatores (2FA), que adiciona uma camada extra de segurança no acesso a contas online. A segunda etapa pode ser feita via código enviado por SMS, e-mail ou notificação em aplicativos no celular.
