Megavazamento expõe 149 milhões de senhas de Gmail, redes sociais e sistemas do governo brasileiro

Um servidor aberto, 149 milhões de vítimas em potencial

No início de 2026, o pesquisador de segurança Jeremiah Fowler se deparou com algo alarmante: um servidor de 96 gigabytes de dados completamente aberto à internet, sem qualquer senha de acesso ou camada de criptografia. Dentro desse repositório desprotegido estavam armazenadas mais de 149 milhões de combinações de usuário e senha de serviços que boa parte da população mundial usa diariamente — de contas de e-mail do Gmail a perfis em redes sociais, plataformas de streaming e, no caso brasileiro, credenciais vinculadas a domínios do governo federal. Fowler coordenou a divulgação do achado com a empresa de VPN ExpressVPN, que publicou os detalhes técnicos da descoberta.

O que estava exposto e em que quantidade

O volume de dados comprometidos reflete a abrangência do vazamento. As contas do Gmail lideraram a lista com 48 milhões de registros, seguidas por 17 milhões de perfis do Facebook, 6,5 milhões do Instagram e 4 milhões do Yahoo. Plataformas de entretenimento e finanças também apareceram no banco de dados: 3,4 milhões de credenciais do Netflix, 780 mil do TikTok, 420 mil da corretora de criptoativos Binance e 100 mil do OnlyFans. Além desses serviços globais, o levantamento identificou logins associados a endereços de e-mail com o sufixo .gov.br, o que indica que funcionários públicos ou cidadãos com cadastros em portais governamentais brasileiros também podem estar entre os afetados.

Quase um mês até o servidor ser desligado

Depois de identificar o repositório, Fowler notificou a empresa responsável pela hospedagem por meio dos canais oficiais. O processo, porém, não foi imediato: foram necessárias quase quatro semanas e múltiplas tentativas de contato até que o provedor suspendesse o acesso ao servidor. Mais preocupante ainda é o que não ficou claro após o incidente — a empresa nunca divulgou a identidade de quem administrava o banco de dados nem confirmou se as informações chegaram a ser copiadas ou utilizadas de forma maliciosa durante o período em que estiveram expostas. O conteúdo foi removido após as denúncias, mas a janela de exposição permanece uma incógnita.

O que fazer se você suspeita que foi afetado

Diante de um vazamento desta magnitude, especialistas recomendam uma série de medidas imediatas. A primeira delas é ativar a autenticação em dois fatores em todas as contas que ofereçam esse recurso — especialmente e-mail, redes sociais e serviços financeiros. Trocar senhas, sobretudo em plataformas que aparecem na lista de serviços comprometidos, é igualmente urgente, e o ideal é que cada conta tenha uma combinação única para evitar o chamado "ataque de reutilização de credenciais", em que uma senha vazada é testada em dezenas de outros serviços. Revisar o histórico de acessos e as permissões concedidas a aplicativos de terceiros também ajuda a identificar acessos não autorizados. Gerenciadores de senhas facilitam esse processo, embora os próprios especialistas alertem que essas ferramentas não oferecem proteção contra malwares sofisticados capazes de capturar dados antes que sejam criptografados.

Contexto de um problema recorrente

O episódio reforça um padrão que se repete na segurança digital: grandes volumes de dados pessoais acabam concentrados em repositórios mal configurados, acessíveis a qualquer pessoa com as ferramentas certas. A ausência de proteção básica — como senha de acesso ao servidor e criptografia dos arquivos — transforma descuidos operacionais em riscos massivos para usuários que sequer sabem que suas credenciais foram coletadas e armazenadas por terceiros. Para organizações e indivíduos, o evento serve de lembrete de que boas práticas de higiene digital deixaram de ser opcionais.

Fonte: Midiamax, com informações adicionais de Olhar Digital.