Google nega falha em seus sistemas e diz que dados vieram de roubos antigos feitos por programas maliciosos
Aproximadamente 16 milhões de logins e senhas de e-mails de serviços como Gmail, Yahoo e Outlook foram publicados no site Have I Been Pwned (HIBP) – usado para verificar se uma conta foi vazada. O pacote total tem 3,5 terabytes de dados — o equivalente a 23 bilhões de linhas com informações de usuários.
O conteúdo vazado foi descoberto em abril desde ano, mas só foi publicado no HIBP em outubro. O material não indica necessariamente uma invasão aos servidores das empresas de e-mail. Segundo o Google, dono do Gmail, os registros vieram de programas que roubam credenciais e não de um ataque direto aos seus servidores.
O Google reconheceu a atualização no HIBP, mas negou que todas as 183 milhões de contas afetadas sejam do Gmail. Em nota, a empresa disse que não há registro de falha em seus sistemas e que as informações vêm de bancos de dados antigos criados por criminosos. Microsoft e Yahoo ainda não se pronunciaram.
Segundo especialistas, é difícil confirmar a origem exata dos dados, mas o HIBP é considerado confiável no rastreamento de vazamentos. A maioria das informações foi obtida por meio de infostealers, programas que infectam computadores e copiam logins, senhas e endereços de sites visitados. Esses dados costumam ser revendidos em fóruns e mercados clandestinos.
O criador do HIBP, Troy Hunt, afirmou que várias empresas também foram impactadas, sem revelar nomes. Ele explicou que boa parte dos dados é antiga, mas ainda há risco para quem repete a mesma senha em vários serviços.
A principal ameaça é o “credential stuffing”, quando golpistas testam combinações de e-mail e senha em outros sites. Por isso, a recomendação é trocar imediatamente a senha se houver suspeita de exposição e revisar o acesso a contas importantes.
Os especialistas sugerem criar senhas longas e únicas, misturando letras, números e símbolos, e usar gerenciadores de senhas como o do Google, LastPass, Microsoft Authenticator ou KeePass. Ferramentas pagas como 1Password e Dashlane também são opções seguras.
Outra proteção importante é a autenticação em duas etapas (2FA), que exige um segundo código além da senha. Algumas plataformas já adotam chaves de acesso (passkeys), que permitem login apenas com biometria ou PIN.
É possível verificar se um e-mail foi exposto no próprio site do Have I Been Pwned. Caso apareça na lista, o ideal é trocar senhas, revisar atividades recentes e desconfiar de mensagens suspeitas.
Em resumo, o megavazamento não aponta uma nova invasão, mas sim a soma de dados roubados por malwares ao longo dos anos. A melhor defesa continua sendo atualizar senhas, evitar repeti-las e usar autenticação extra para reduzir riscos.
