😱 "16 bilhões de senhas vazadas": o megavazamento que virou manchete. Seria tudo isso mesmo?
Maior vazamento da história?
A imprensa internacional noticiou um suposto “maior vazamento de dados da história” envolvendo 16 bilhões de senhas expostas. É senha que não acaba mais… algo como duas para cada habitante do planeta. Títulos de matérias citaram Google, Apple, Facebook e outras gigantes, sugerindo que ninguém saiu ileso. A reação imediata foi o pânico: troca de senhas em massa e preocupação generalizada com contas hackeadas. Mas, respirando fundo e analisando os fatos, será que esse megavazamento é tudo isso mesmo?
Dados antigos em roupa nova
Especialistas em segurança logo apontaram que não se tratava de um novo ataque, mas sim de uma enorme compilação de credenciais vazadas ao longo dos anos.
https://www.bleepingcomputer.com/news/security/no-the-16-billion-credentials-leak-is-not-a-new-data-breach/a
Em vez de um hack novinho, o pacote de 16 bilhões de senhas seria uma colcha de retalhos de dados antigos e novos: combinações já expostas em brechas passadas, listas de infostealers (malwares que roubam senhas de computadores infectados) e resultados de ataques de credential stuffing. Em outras palavras, muito refugo reciclado circulando por aí, agora embalado como novidade em um pacotão.
Não por acaso, foi encontrado no formato típico de registros de infostealer...
Os próprios pesquisadores do Cybernews admitem que as credenciais vieram de malware, força bruta e reaproveitamento de vazamentos anteriores, e embora aleguem que há dados recentes misturados à coletânea, não há evidências concretas de que haja algo realmente inédito no bolo. Vale notar também que o número astronômico inclui muitas entradas duplicadas ou inválidas – afinal, datasets distintos podem conter as mesmas credenciais repetidas Em resumo, esse “vazamento” recorde parece mais um remix de velhos conhecidos do que um incidente novo.
https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/
Não me entendam mal. É ÓBVIO que vocês devem sim, não apenas trocar as senhas caso elas sejam fáceis ou curtas demais, mas ativar MFA nos seus principais serviços, revisar alertas do Google e HaveIBeenPwed, entre outros… mas o que as matérias tentam empurrar de que “Ho my god, o Google e o Facebook vazaram minhas senhas…”, não é isso aí.
A maioria dos emails na internet é gmail.com e a maioria das contas no Facebook são gmail.com - A maioria dos fakes dado a facilidade de se criar um gmail, é gmail.com, logo, a grande massa de qualquer vazamento de dados será de emails do gmail.com e como a galera usa a mesma senha para tudo, o resultado é: “O google vazou minha senha, me ajuda mamãe!”
A facilidade de forjar um “mega vazamento”
Para quem estranhou o total de 16 bilhões, cabe uma dose de sarcasmo técnico: com ferramentas certas, forjar uma base gigantesca de senhas não é tão difícil. Imagine um algoritmo programado para gerar logins e senhas aleatórios aos milhões, poderíamos incluir até personagens fictícios do Himalaia, como yeti.hacker@himalaya.com com a senha Sn0wM0nster!, para dar um toque clichê. Em pouco tempo, teríamos um banco de dados enorme, recheado de dados falsos ou inúteis, pronto para ser anunciado em fóruns obscuros como “o maior vazamento da história”. A piada ilustra um ponto sério: quando os dados não são validados, quantidade não significa qualidade. Qualquer um com um computador e pouca ética pode inflar números e atrair atenção, principalmente num mundo sedento por manchetes chocantes.
Não estou dizendo que foi o caso ein? Mas quis aproveitar o endejo para falar que “fake data leaks” são comuns e muito usado para golpes e chantagens onde um “grupo” nada sério cria um anúncio de vazamento de dados potencial de alguma empresa e marca bem famosa - Os alarmistas saem divulgando nas redes sociais como se fosse verdade sem sequer ter tido acesso nem mesmo a um preview dos dados para conferir se a empresa confirma o match - e os golpistas aproveitam para chantagear a empresa que já está abalada com a repercussão.
Quer ver como é fácil? (não faça isso em casa)
Pega uma empresa com +10 mil funcionários no Linkedin. Monta um bot que extrai o nome de todos os funcionários. Procura alguns emails reais e identifique o padrão de emails da empresa (geralmente nome.sobrenome@). A partir dos dados no linkedin + dados públicos de outros vazamentos, monte um grande database de dados dos funcionários. Procure então qual o sistema de ERP usado pela empresa, muitas vezes SalesForce, Oracle, SAP ? O modelo de dados dessas empresas é conhecido - Gere um conjunto de dados no mesmo modelo e acrescente dados sensíveis no meio para simular como se fossem dados de RH. Publique em um forum da darkweb alguns trechos e prints hachurados dos dados e anuncie que se não receber x bitcoins até a data y, os dados serão divulgados. Pronto, prato cheio para uma matéria com dados potencialmente (parcialmente) reais sem qualquer tipo de ataque - reputação em jogo e golpista feliz.
Viu como é fácil gerar um “vazamento de dados” ?
Sensacionalismo e falta de verificação
O caso expõe também uma questão de governança da informação e responsabilidade da mídia. Basta um post anônimo em fórum de hackers ou uma “denúncia” exagerada para alguns veículos saírem publicando o “apocalipse das senhas” sem a devida checagem técnica. Nesse episódio, títulos apocalípticos pipocaram sem confirmar a originalidade dos dados, rendendo muitos cliques e pouca nuance. Um site de notícias chegou a cravar “mude suas senhas agora!” como se todas as contas tivessem sido magicamente invadidas de uma vez. Publicações respeitadas repetiram o mote do “maior vazamento de todos os tempos”, alimentando o medo e o frenesi. Foi preciso que pesquisadores independentes jogassem água fria: calma lá, nenhuma grande plataforma foi realmente hackeada agora, e grande parte das credenciais já estava em circulação faz tempo. O episódio lembra fiascos anteriores (como o RockYou2021 e outros compêndios de senhas vazadas) em que, passado o susto, descobriu-se que pouca coisa era nova de verdade. Em suma, o hype foi desproporcional.
Cuidado com golpes oportunistas
Como se o carnaval de desinformação não bastasse, golpistas aproveitam o caos. Sempre que surgem notícias de megavazamentos, proliferam mensagens e sites prometendo “verificar se você foi afetado” ou até oferecendo indenizações mirabolantes. No Brasil, não demorou para aparecer a promessa de um programa garantindo pagamento de até R$ 20 mil a vítimas, tudo mentira, claro. Esses esquemas apenas coletam CPF, senhas e outros dados pessoais dos incautos, ou exigem taxas adiantadas para um ressarcimento que nunca vem. A Autoridade de Dados e órgãos de checagem já alertaram: o governo não anunciou pagamento nenhum por vazamentos; trata-se de golpe para roubar dados financeiros. Portanto, muita cautela: não forneça informações nem dinheiro a sites ou supostas empresas que usem o medo do vazamento como isca.
O “vazamento de 16 bilhões de senhas” ensina duas lições. Primeiro, números espetaculares exigem escrutínio espetacular, nem todo alarde se traduz em risco real, e é essencial questionar a origem e qualidade dos dados antes de sair espalhando o pânico. Segundo, do ponto de vista de privacidade e segurança, continuamos vulneráveis não por um mega-hack instantâneo, mas pela soma de descuidos ao longo do tempo: senhas reutilizadas, leaks antigos e malware silencioso. Em vez de pavor infundado, a resposta deve ser prática: reforçar senhas, usar gestores de credenciais, habilitar autenticação em dois fatores e desconfiar de promessas fáceis. Assim, mesmo que 16 bilhões de senhas vazem (de novo), você não será mais um figurante nesse teatro de vazamentos reciclados…
… na verdade, dá para prever o tamanho do próximo megavazamento. Se em 2021 o RockYou2021 divulgou 8 bilhões e e 2025 16 bilhões, teremos 24 bilhões em 2029? Acho que antes ein, agora temos IA para isso.
Referências
ABRAMS, Lawrence. No, the 16 billion credentials leak is not a new data breach. BleepingComputer, 19 jun. 2025. Disponível em: https://www.bleepingcomputer.com/news/security/no-the-16-billion-credentials-leak-is-not-a-new-data-breach/. Acesso em: 22 jun. 2025.
PETKAUSKAS, Vilius; LAPIENYTĖ, Jurgita. 16 billion passwords exposed in record-breaking data breach, opening access to Facebook, Google, Apple, and any other service imaginable. Cybernews, 21 jun. 2025. Disponível em: https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/. Acesso em: 22 jun. 2025.
WINDER, Davey. 16 Billion Apple, Facebook, Google And Other Passwords Leaked — Change Yours Now. Forbes (online), 20 jun. 2025. Disponível em: https://www.forbes.com/sites/daveywinder/2025/06/20/16-billion-apple-facebook-google-passwords-leaked---change-yours-now/. Acesso em: 22 jun. 2025.
EXAME (Redação). Maior vazamento da história expõe 16 bilhões de senhas — e Brasil está entre os mais afetados. Exame, 21 jun. 2025. Disponível em: https://exame.com/tecnologia/maior-vazamento-da-historia-expoe-16-bilhoes-de-senhas-e-brasil-esta-entre-os-mais-afetados/. Acesso em: 22 jun. 2025.
FAUSTINO, Marco. É golpe lista que promete indenização de até R$ 20 mil do governo federal. Aos Fatos, 10 abr. 2025. Disponível em: https://www.aosfatos.org/noticias/golpe-lista-indenizacao-20-mil-governo-federal/. Acesso em: 22 jun. 2025.