183 milhões de senhas expostas: milhões de contas Gmail afetadas

Uma coleção massiva de 183 milhões de palavras-passe de email, incluindo milhões de contas Gmail, foi exposta através de campanhas de malware do tipo infostealer, revelaram investigadores de cibersegurança esta semana.

A base de dados, adicionada ao serviço Have I Been Pwned a 21 de outubro, representa um dos maiores vazamentos de credenciais registados até agora em 2025.

O Google veio, no entanto, negar de forma clara que tenha ocorrido qualquer violação direta aos seus serviços. Em publicação nas redes sociais, a empresa esclareceu que “os relatos sobre uma ‘violação de segurança do Gmail que afetou milhões de utilizadores’ são falsos”. Segundo o Google, as contas comprometidas resultam de dispositivos dos utilizadores infetados com malware — e não de falhas nos servidores ou na infraestrutura do Gmail.

A exposição destes dados é fruto de quase um ano de monitorização de atividade de infostealers pela empresa de segurança Synthient, que rastreou credenciais a circular em canais clandestinos no Telegram, redes sociais e fóruns da dark web. Troy Hunt, criador do Have I Been Pwned, confirmou que o conjunto de dados ocupa cerca de 3,5 terabytes e inclui mais de 23 mil milhões de registos.

Para validar a autenticidade, Hunt contactou utilizadores potencialmente afetados. Um deles confirmou que os dados correspondiam a “uma palavra-passe exata da minha conta Gmail”. O conjunto inclui URLs, endereços de email e palavras-passe capturadas no momento em que os utilizadores iniciavam sessão em serviços diversos, em dispositivos previamente comprometidos.

Apesar de 91% das credenciais expostas já terem surgido noutros vazamentos, cerca de 16,4 milhões de endereços de email aparecem aqui pela primeira vez. Especialistas alertam que a presença de palavras-passe ativas aumenta significativamente o risco de ataques de credential stuffing — tentativas automatizadas de acesso a várias plataformas, usando combinações reutilizadas pelos mesmos utilizadores.