Gmail, Instagram e gov.br: 149 milhões de senhas expostas acendem alerta global

Um banco de dados contendo 149 milhões de logins e senhas expostos foi encontrado publicamente acessível na internet, segundo o pesquisador de cibersegurança Jeremiah Fowler. Entre os serviços afetados estão Gmail, Instagram, Facebook, plataformas de streaming, serviços financeiros e até registros associados ao gov.br.

A descoberta levanta um alerta sério sobre higiene digital, uso de senhas fracas, dispositivos infectados e os riscos silenciosos de malwares que operam sem o conhecimento do usuário. Mesmo sem indícios de invasão direta às plataformas, o impacto para usuários pode ser significativo.

Como o banco de dados com 149 milhões de senhas foi encontrado

De acordo com Fowler, o banco de dados estava totalmente público, sem senha, criptografia ou qualquer tipo de autenticação. O volume total chegava a 96 GB de dados brutos, contendo:

• Endereços de e-mail
• Nomes de usuário
• Senhas em texto
• Links diretos para páginas de login

Qualquer pessoa que encontrasse o endereço do servidor poderia acessar livremente o conteúdo, o que amplia drasticamente o risco de uso indevido dessas informações.

Malware infostealer: a principal origem dos dados vazados

Segundo o pesquisador, as credenciais foram coletadas por meio de um malware conhecido como infostealer. Esse tipo de programa infecta computadores e celulares e atua de forma silenciosa, capturando:

• Senhas salvas no navegador
• Cookies de sessão
• Dados de carteiras de criptomoedas
• Informações de autofill

Esses dados costumam ser enviados para repositórios em nuvem. Quando mal configurados, acabam se tornando novos vazamentos em larga escala, como neste caso.

Veja como proteger melhor suas contas online:
Guia completo de segurança digital

Quais serviços e contas foram atingidos

A base incluía registros de diversas plataformas populares. Entre os números estimados divulgados por Fowler estão:

Provedores de e-mail

• Gmail: 48 milhões
• Yahoo: 4 milhões
• Outlook: 1,5 milhão
• iCloud: 900 mil
• Endereços “.edu”: 1,4 milhão

Outros serviços

• Facebook: 17 milhões
• Instagram: 6,5 milhões
• Netflix: 3,4 milhões
• TikTok: 780 mil
• Binance: 420 mil
• OnlyFans: 100 mil

O pesquisador também identificou credenciais associadas a domínios governamentais (.gov) de diversos países, incluindo um exemplo relacionado ao Brasil.

Por que credenciais do gov.br chamam tanta atenção

Mesmo que não haja confirmação de invasão direta ao sistema gov.br, a simples exposição de credenciais associadas a domínios governamentais representa riscos relevantes, como:

• Tentativas de spear phishing altamente direcionadas
• Falsificação de identidade digital
• Uso das informações como porta de entrada para novos golpes

Esses dados permitem que criminosos criem ataques muito mais convincentes, explorando confiança e contexto real.

Aprenda a evitar golpes usando WhatsApp e Pix
Pix pelo WhatsApp: como se proteger

Banco removido, mas responsáveis seguem desconhecidos

Fowler informou que notificou o provedor de hospedagem responsável pelo servidor. Segundo ele, foram necessárias quase quatro semanas até que o acesso fosse suspenso.

Durante esse período:

• O número de registros continuou crescendo
• Não houve identificação do responsável pela base
• Não foi informado se os dados foram usados de forma criminosa

O pesquisador afirma que não fez download dos dados e que sua atuação teve caráter exclusivamente informativo e educacional.

Riscos reais para usuários comuns

A exposição de um banco desse tamanho amplia ataques como:

• Credential stuffing (testar e-mail e senha em vários serviços)
• Golpes financeiros
• Roubo de identidade
• Campanhas de phishing altamente personalizadas

Além disso, a correlação entre e-mails e serviços usados permite criar perfis detalhados de vítimas, aumentando o potencial de extorsão e abuso de dados pessoais.

O que você deve fazer agora para se proteger

Especialistas alertam que trocar apenas a senha pode não ser suficiente se o dispositivo estiver infectado. As principais recomendações incluem:

• Ativar autenticação em duas etapas (2FA)
• Não reutilizar senhas em serviços diferentes
• Manter sistema operacional e antivírus atualizados
• Revisar extensões de navegador
• Evitar softwares fora de lojas oficiais
• Usar gerenciadores de senhas confiáveis

Essas medidas reduzem significativamente o impacto de vazamentos e malwares.

Posicionamento das plataformas

O Google informou que os dados citados fazem parte de compilações oriundas de infostealers e que possui proteções automatizadas para bloquear contas e forçar redefinições de senha quando credenciais expostas são detectadas.

Já o Ministério da Gestão e da Inovação afirmou que não há registros de invasões ou vazamentos no gov.br, destacando o uso de biometria facial, verificação em duas etapas e gestão de dispositivos como medidas de proteção, além de recomendar que usuários elevem suas contas para o nível Ouro.

Conclusão: vazamentos não são exceção, são parte do cenário atual

Casos como esse mostram que o maior elo fraco da segurança digital continua sendo o dispositivo do usuário. Em um cenário de ataques automatizados e coleta massiva de dados, boas práticas deixam de ser opcionais.

Proteger suas contas hoje é uma questão de hábito, não de conhecimento técnico avançado.

Leia também: Produtividade e riscos com IA em 2026