Recentemente, foi revelada a existência de uma gigantesca base de dados contendo mais de 26 bilhões de credenciais vazadas, sendo 16 bilhões de registros únicos. A descoberta foi divulgada pelo portal Cybernews em parceria com o pesquisador Bob Dyachenko, e vem sendo considerada o maior aglomerado de dados já encontrado até hoje.
Esse vazamento, que ficou conhecido como MOAB (Mother of All Breaches), não representa apenas um evento isolado, mas sim a junção de dezenas de bases anteriores com dados coletados por malwares modernos — muitos deles ainda ativos e silenciosos.
O Que é o MOAB?
O termo MOAB não é oficial, mas passou a ser utilizado para se referir à base que reúne vazamentos extraídos de diferentes fontes:
– Vazamentos públicos anteriores (como LinkedIn, Twitter, Weibo, Wattpad, Deezer, Dropbox, etc.)
– Dados roubados por infostealers (malwares que capturam credenciais direto do navegador)
– Logs de senhas salvas, cookies de sessão, tokens de acesso e até arquivos de configurações locais
A base totaliza 1,2 TB de texto puro e foi encontrada em fóruns da dark web e repositórios de crimeware.
🧠 Fonte primária: Cybernews – “Researchers uncover 26 billion-record mother of all breaches”
Link: cybernews.com/security/mother-of-all-breaches
Por Que Esse Vazamento é Diferente?
Ao contrário de outros grandes incidentes anteriores, como os vazamentos da Yahoo, Facebook ou LinkedIn, o MOAB não é uma brecha única de uma empresa específica, mas sim um mega compilado com dados de sites públicos e privados, apps mobile, redes sociais, plataformas governamentais e até sistemas bancários.
O mais alarmante: parte dos dados não vem de falhas de servidores ou ataques diretos, mas sim da instalação de malwares no computador ou celular do usuário final.
Ou seja, mesmo que você nunca tenha sido alvo direto, seu navegador pode estar entregando suas credenciais.
Malwares como Redline, Vidar, Raccoon e Azorult são amplamente utilizados para coletar:
- Senhas salvas em navegadores (Chrome, Edge, Firefox)
- Cookies e sessões ativas
- Dados bancários e de cartão
- Logins de e-mail, WhatsApp Web, redes sociais e dashboards corporativos
Muitos desses malwares são distribuídos via engenharia social:
- Pop-ups falsos de atualização do navegador
- Instalação de cracks ou plugins piratas
- Vídeos e links disfarçados em redes sociais ou torrents
A Escala do Problema
- 26 bilhões de registros totais
- 16 bilhões únicos (não repetidos)
- +3,5 bilhões associados a usuários de língua portuguesa
- Isso representa 16 registros por pessoa no Brasil, em média
Para efeito de comparação, a população mundial atual gira em torno de 8 bilhões de pessoas, o que significa que há o dobro de senhas do que seres humanos na Terra.
Observação importante:
Nem todo dado está “ativo” ou representa risco imediato. Muitas credenciais podem estar desatualizadas, mas mesmo que apenas 0,1% delas ainda funcionem, isso representa 16 milhões de acessos válidos — o suficiente para gerar um desastre em escala global.
E O Brasil?
O Brasil é um dos países mais afetados pela base identificada.
A maior parte dos registros em língua portuguesa envolve domínios .br, logins de e-mail nacionais e senhas simples como:
- brasil123
- senha123
- nome+data
- cpf+nascimento
- qwerty
- 12345678
E o pior: muitos usuários ainda repetem essas senhas em múltiplas plataformas (e-mail, redes sociais, sites de compras e bancos).
Como Saber se Suas Credenciais Foram Vazadas?
Ferramentas úteis para verificação:
- haveibeenpwned.com – Criado por Troy Hunt, permite buscar por e-mail
- Cybernews Personal Data Leak Checker
- Firefox Monitor – verifica exposições conhecidas vinculadas ao seu e-mail
Essas ferramentas não cobrem toda a base MOAB (por segurança e ética), mas ajudam a detectar se seu e-mail já foi identificado em vazamentos conhecidos.
O Que Você Pode Fazer Agora
A recomendação é simples — e urgente:
Para usuários comuns:
- Altere suas senhas imediatamente, especialmente em serviços importantes (e-mail, bancos, redes sociais)
- Evite repetir senhas
- Ative a verificação em dois fatores (2FA) em todos os serviços compatíveis
- Revogue sessões antigas em contas online
- Use um gerenciador de senhas confiável (Bitwarden, 1Password, KeePassXC, etc.)
Para empresas:
- Exigir senhas fortes e únicas para todos os sistemas
- Implantar MFA (autenticação multifator) de forma obrigatória
- Monitorar acessos suspeitos e sessões inativas
- Avaliar o uso de soluções de EDR, antivírus com foco em infostealers e DNS seguro
- Reforçar a conscientização interna com campanhas educativas
Conclusão
Este não é mais um caso isolado. É a materialização de um cenário que a segurança da informação vem alertando há anos: a explosão de dados sensíveis fora de controle.
Você não precisa ser uma empresa, político ou celebridade para ser um alvo.
Se você tem uma senha, você tem valor.
A boa notícia? Ainda dá tempo de agir.
E se precisar de apoio técnico, orientação ou análise de risco personalizada para sua empresa ou sua vida digital, entre em contato.
Rodrigo Meloque
Especialista em Tecnologia e Segurança Digital
www.meloque.com.br
Deixe um comentário