Voltar ao blog

Vazamento de 24 bilhões de senhas: como funciona a indústria de substituição de contas

Em 12 de junho de 2026, pesquisadores da Cybernews encontraram um servidor desprotegido de 8,3 TB com 24 bilhões de contas roubadas. Vamos analisar o que há dentro, como funciona a substituição de contas através de proxies residenciais e móveis e por que o mercado negro de senhas roubadas afeta até mesmo o web scraping legal e o multi-accounting.

📅7 de julho de 2026
Vazamento de 24 bilhões de senhas: como funciona a indústria de substituição de contas
```html

24 bilhões de logins e senhas roubados foram coletados em um único lugar — em um servidor aberto, ao qual qualquer um poderia se conectar. A descoberta dos pesquisadores da Cybernews não é apenas mais uma "vazamento de N milhões". É uma vitrine de uma indústria inteira: infostealers roubam credenciais, listas combinadas as agregam, e exércitos de bots as testam em sites, disfarçando cada tentativa como se fosse um usuário real com o auxílio de proxies residenciais e móveis. Vamos analisar o que foi encontrado, como funciona a substituição de credenciais (credential stuffing) e por que esse mercado sombrio impacta também o scraping web legal e o multi-conta.

O que aconteceu: 8,3 TB e 24 bilhões de registros em um servidor

No dia 12 de junho de 2026, pesquisadores da Cybernews descobriram um cluster Elasticsearch aberto com um volume de 8,3 terabytes, contendo 24 bilhões de registros com credenciais. O banco de dados não estava protegido por senha ou qualquer tipo de autenticação — qualquer um que soubesse o endereço poderia acessá-lo. Logo após a publicação da descoberta, o servidor foi levado para offline, então os pesquisadores não conseguiram chegar ao proprietário.

O conjunto foi coletado de 36 fontes, e esse é um detalhe crucial. A maior parte — as chamadas "coleções" (cerca de 22,6 bilhões de registros), mas a estrutura do restante é especialmente reveladora:

  • mais de 1,7 bilhões de registros foram extraídos diretamente de canais do Telegram — mais de 30 das 36 fontes eram canais onde dados roubados são comercializados abertamente;
  • cerca de 260 milhões de registros — de canais com referências ao "Darkside";
  • cerca de 150 milhões — dumps locais de bancos de dados;
  • cerca de 146 milhões — compilações de vazamentos anteriores (listas combinadas).

Dentro — não apenas "email e senha". Uma parte significativa do conjunto são logs de infostealers: malwares como RedLine, Lumma e Vidar, que extraem tudo do navegador infectado. Nos logs mais completos, estão senhas salvas, cookies de sessão e tokens — incluindo aqueles que permitem contornar a autenticação de dois fatores, dados de preenchimento automático, impressões de dispositivo e, às vezes, carteiras criptográficas. Cada registro geralmente vem acompanhado de uma URL do serviço ao qual a senha se aplica — ou seja, uma instrução pronta de "onde fazer login".

Outro detalhe alarmante: por indícios indiretos (no conjunto foram encontradas referências a materiais recentes até 2026), é evidente que o proprietário atualizava regularmente o banco de dados. Não se trata de um depósito de arquivos antigos, mas de uma ferramenta viva e atualizada.

Como os senhas vazadas geram dinheiro: substituição de credenciais

Por si só, a lista "login-senha" é inútil até que seja testada em sites reais. Isso é feito através da substituição de credenciais: bots automatizados pegam pares roubados e tentam logar em centenas de serviços, contando que a pessoa use a mesma senha em vários lugares.

A escala do problema é bem visível nos dados do Verizon DBIR de 2025. A substituição de credenciais representou uma mediana de 19% de todas as tentativas diárias de login nos logs dos provedores de SSO, em grandes empresas a proporção chegava a 25%, e no pior dia registrado — até 44% de todo o tráfego de logins. As credenciais roubadas foram o vetor inicial em 22% dos hacks confirmados. Somente em 2025, cerca de 2 bilhões de pares únicos foram coletados de listas combinadas do dark web — e agora, em um único servidor, havia 24 bilhões de registros.

E é aqui que começa a parte que diz respeito diretamente à indústria de proxies. Para não serem descobertos nas primeiras tentativas, os atacantes rodam as solicitações através de pools de proxies residenciais e móveis: cada tentativa de login é feita a partir de um novo endereço IP de um provedor real ou operadora móvel. Para proteger o site, isso não parece uma única máquina suspeita tentando mil vezes, mas sim mil "usuários comuns" de diferentes cidades. A proteção clássica por frequência de solicitações de um único IP é quase inútil com essa rotação.

Por que isso impacta o scraping legal e o multi-conta

À primeira vista, qual é a relação com aqueles que fazem coleta de dados de forma honesta, automação de SMM ou gerenciam várias contas para negócios? É que sistemas anti-bot não diferenciam intenções — eles diferenciam padrões. Quanto mais ativamente os criminosos disfarçam a substituição de credenciais como tráfego real através de IPs residenciais, mais agressivamente Cloudflare, Akamai, DataDome e AWS WAF apertam as regras para todos.

Daí surge a mudança na detecção do nível de IP para o nível de identidade. Hoje, os filtros observam não apenas o endereço, mas como o cliente se comporta e como é sua impressão digital na rede:

  • Fingerprinting TLS e HTTP (JA3/JA4) — se o handshake não coincide com o navegador declarado, o cliente é marcado como suspeito;
  • análise comportamental de timing — um ser humano real tem pausas entre ações que "flutuam", enquanto scripts frequentemente produzem intervalos quase idênticos;
  • anomalias na taxa de sucesso — entradas raras bem-sucedidas, espalhadas por várias contas, são uma assinatura característica do stuffing;
  • lacunas em cabeçalhos e JavaScript — bots que não renderizam a página completamente perdem cookies e valores que são definidos pelo JS.

É por isso que, em 2026, o scraping está se tornando cada vez mais um jogo de identidades, e não uma corrida por quantidade de IPs — analisamos detalhadamente a mecânica do fingerprinting TLS e JA4 separadamente. Para um projeto honesto, a conclusão é simples: a qualidade e a "limpeza" dos proxies agora são mais importantes do que a quantidade. Um IP que ontem foi usado para tentar adivinhar senhas alheias, hoje já está em listas negras de sistemas de reputação — e arrasta consigo seu tráfego legal.

Há também uma dimensão de reputação. Escândalos em torno de botnets de Smart TVs hackeadas e a recente desmantelação de redes de proxies sombrias mostraram que parte do mercado "residencial" se alimenta de fontes duvidosas. Para os negócios, isso é um sinal para escolher um provedor com origem de IP transparente e um KYC claro, e não o pool mais barato de qualidade desconhecida. Proxies residenciais legais e proxies móveis de redes verificadas oferecem a tão desejada "limpeza" de reputação, pela qual tudo isso é feito — sem o risco de se encontrar no mesmo segmento que o tráfego de credential stuffing.

O que fazer agora

Para o usuário comum, a principal proteção contra tais vazamentos não é a senha em si, mas sua unicidade. Um infostealer que roubou sua senha de um fórum é perigoso exatamente na medida em que a mesma senha se aplica ao seu e-mail e banco.

  • Uma senha única para cada serviço e um gerenciador de senhas, para não precisar mantê-las na cabeça. A substituição de credenciais vive exclusivamente da reutilização.
  • Autenticação de dois fatores ou passkeys em contas críticas — e-mail, banco, lojas, redes sociais. Mesmo com uma senha vazada, sem o segundo fator é mais difícil entrar.
  • Fique atento aos tokens de sessão. Infostealers roubam cookies que sobrevivem à entrada da senha e 2FA — portanto, ao suspeitar de infecção, é importante não apenas trocar a senha, mas também encerrar sessões ativas em todos os dispositivos.
  • Não execute qualquer coisa. Infostealers se espalham através de anúncios maliciosos, "atualizações de navegador" falsas, software hackeado, cheats de jogos, extensões suspeitas e ataques ClickFix, onde a vítima é convencida a executar o comando.

Para aqueles que automatizam o trabalho com sites de forma legal, a lição é diferente: separe identidades e não as misture. Um conjunto separado de contas — um IP limpo separado, um perfil de navegador separado com uma impressão digital consistente. É assim que os cenários anti-detect são construídos, e é por isso que um pool de proxies "cinzas" baratos hoje é mais perigoso para o projeto do que sua ausência.

Conclusão

24 bilhões de registros em um servidor desprotegido não é um recorde por si só, mas uma fotografia de uma economia em funcionamento: infostealers na entrada, listas combinadas no meio, substituição de credenciais através de proxies residenciais na saída. Enquanto as pessoas reutilizarem senhas, essa linha de produção será lucrativa, e a proteção anti-bot se tornará cada vez mais rigorosa. Perderá quem ignorar a higiene: o usuário comum sem senhas únicas e 2FA — e o negócio que tenta economizar na limpeza da infraestrutura. Em um mundo onde a detecção é baseada na identidade, e não no IP, apostar na transparência e qualidade deixa de ser um luxo.

```