Um megavazamento global expôs senhas e endereços de e-mail ligados a mais de 183 milhões de contas, incluindo milhões associadas a serviços populares como Gmail, Outlook e Yahoo. O conjunto de dados, com cerca de 3,5 terabytes, reúne bilhões de linhas de informação, segundo o site Have I Been Pwned, que monitora grandes incidentes de segurança digital.
A maior parte das credenciais vem de campanhas conhecidas como “infostealers”: programas maliciosos que se instalam no computador da vítima e copiam tudo o que encontram relacionado a login, senha e sites acessados. Diferente de ataques que derrubam servidores de uma empresa específica, esse tipo de roubo acontece máquina por máquina. Quase como um furto silencioso dentro do seu próprio navegador.
De acordo com as informações divulgadas, muitas das senhas expostas ainda estavam ativas. Em outros casos, a base confirmou contas que nunca tinham aparecido em vazamentos anteriores, o que reacendeu o alerta de segurança. O vazamento teria sido inicialmente detectado em abril de 2025 e voltou a ganhar força agora, com a adição de milhões de novas contas à base monitorada.
Mesmo assim, empresas como o Google afirmam que não houve invasão direta aos servidores do Gmail. Ou seja: não foi alguém “entrando no cofre” do e-mail. O alvo foram os próprios dispositivos dos usuários, que acabaram entregando as credenciais sem perceber.
O que os criminosos podem fazer com as senhas?
Muitas pessoas usam a mesma senha em vários serviços. Se um invasor descobre a senha que você usa no seu e-mail, ele pode testar essa mesma combinação em lojas online, bancos, redes sociais, serviços de nuvem ou assinatura de streaming. Esse processo automático de testar um e-mail e a mesma senha em vários sites é conhecido como credential stuffing.
Há um risco extra no caso de contas do Gmail: muita gente usa o Google como login para outros serviços. Se a senha do e-mail estiver comprometida e ainda for válida, ela pode virar chave de acesso para o resto da sua vida digital.
Criminosos também podem usar essas contas para se passar pela vítima, disparar golpes em nome dela, redefinir senhas de outros serviços ou acessar arquivos pessoais guardados no e-mail, como documentos, confirmações de compra e comprovantes financeiros.
Como saber se seus dados apareceram no vazamento?
É possível verificar se seu endereço de e-mail faz parte dessa base acessando o site Have I Been Pwned e digitando o seu e-mail. Se o endereço estiver entre os envolvidos, o serviço informa em quais incidentes ele apareceu e em que data.
Em alguns casos, além do e-mail e da senha, também podem ter vazado informações como nome, data de nascimento, telefone e endereço físico. Isso facilita tentativas de roubo de identidade e golpes mais personalizados.
O que fazer se a sua senha vazou?
Existem algumas medidas imediatas que reduzem o risco de alguém entrar nas suas contas:
• Troque a senha do e-mail
Mude a senha assim que possível, especialmente se você usa o mesmo código em vários lugares. Crie uma senha longa (pelo menos 12 caracteres) misturando letras maiúsculas e minúsculas, números e símbolos. Frases inteiras funcionam melhor do que palavras óbvias.
• Não repita senhas
Evite usar a mesma senha para e-mail, redes sociais, serviços bancários e compras online. Se uma delas vazar, todas as outras viram alvo. Para lembrar de tudo sem enlouquecer, use um gerenciador de senhas. Há opções integradas em serviços de grandes empresas de tecnologia e também aplicativos dedicados.
• Ative autenticação em duas etapas
A maioria dos serviços populares permite adicionar uma segunda etapa de verificação no login. Funciona assim: mesmo que alguém tenha sua senha, ainda precisa de um código extra gerado no seu celular, enviado por SMS, app autenticador ou chave física. Isso impede grande parte das invasões.
• Use chaves de acesso (passkeys) onde houver suporte
As chamadas passkeys substituem a senha tradicional por um método de acesso ligado ao seu próprio dispositivo, como impressão digital, reconhecimento facial ou PIN local. A ideia é simples: mesmo que alguém roube sua senha antiga, isso não basta para entrar.
• Verifique acessos estranhos
Serviços como o Gmail oferecem um painel de segurança que mostra de onde sua conta foi acessada. Se aparecer um local ou dispositivo que você não reconhece, troque a senha imediatamente e desconecte sessões suspeitas.
