Resumo

• 149 milhões de credenciais de serviços como Gmail, Facebook e Binance ficaram expostas em uma base de dados sem proteção na internet, que já foi retirada do ar após denúncias.
• Malwares do tipo infostealer foram os responsáveis por alimentar o banco de dados, infectando dispositivos e capturando informações digitadas pelas vítimas para organizar consultas em larga escala.
• Custo reduzido de até US$ 300 mensais para alugar essas infraestruturas criminosas facilita a operação de fraudes e invasões, permitindo que atacantes obtenham volumes massivos de dados com baixo investimento.

Uma base de dados contendo cerca de 149 milhões de nomes de usuário e senhas ficou acessível publicamente na internet antes de ser derrubada. O material reunia credenciais de serviços populares — como Gmail, Facebook e Binance —, além de acessos a plataformas governamentais, instituições financeiras e serviços de streaming.

Não se trata de um vazamento ligado diretamente a uma empresa específica. Segundo especialistas, o problema foi a exposição de um banco de dados sem qualquer tipo de proteção, que pôde ser acessado livremente por meio de um navegador comum até ser denunciado e retirado do ar.

O conjunto foi identificado pelo pesquisador de segurança Jeremiah Fowler, que não conseguiu determinar quem era o responsável pela base ou com qual finalidade ela era mantida. Diante disso, ele notificou o serviço de hospedagem, que removeu o conteúdo por violação dos termos de uso.

O que havia na base de dados exposta?

Entre os registros encontrados estavam cerca de:

• 48 milhões de credenciais do Gmail
• 17 milhões de credenciais do Facebook
• 420 mil credenciais da plataforma de criptomoedas Binance

Também havia dados de outras contas amplamente utilizadas, como Yahoo, Outlook, iCloud, TikTok, Netflix e OnlyFans, além de acessos ligados a domínios educacionais e institucionais.

Fowler identificou ainda logins associados a sistemas governamentais de diferentes países, informações de bancos e de cartões de crédito. Segundo ele, a estrutura do banco de dados indicava um alto nível de organização, com registros classificados automaticamente para facilitar buscas e consultas em larga escala.

“Isso é como uma lista de desejos dos sonhos para criminosos, porque há muitos tipos diferentes de credenciais. O banco de dados estava em um formato feito para indexar grandes registros, como se quem o configurou esperasse coletar uma grande quantidade de dados. E havia toneladas de logins governamentais de muitos países diferentes”, afirmou Fowler à revista Wired.

Como os dados foram coletados?

De acordo com Fowler, há fortes indícios de que o banco tenha sido alimentado por malwares conhecidos como infostealers. Esse tipo de software infecta dispositivos e coleta automaticamente informações digitadas pelas vítimas, como logins e senhas, usando técnicas como keylogging.

O pesquisador relatou que, ao longo de cerca de um mês em que tentou contato com o provedor de hospedagem, a base continuou crescendo, com a inclusão constante de novas credenciais. Ele optou por não divulgar o nome da empresa envolvida, explicando que se trata de um provedor global que opera por meio de afiliadas regionais — neste caso, no Canadá.

Especialistas em inteligência de ameaças alertam que esse tipo de banco amplia significativamente o potencial de golpes, invasões e fraudes. Allan Liska, analista da Recorded Future, explicou à revista Wired que os infostealers reduziram drasticamente o custo e a complexidade da atividade criminosa.

Segundo ele, alugar esse tipo de infraestrutura pode custar entre US$ 200 e US$ 300 por mês (R$ 1.060 a R$ 1.580, em conversão direta), permitindo que criminosos obtenham grandes volumes de credenciais com investimento relativamente baixo.

Banco de dados sem proteção expõe 149 milhões de logins e senhas

Resumo

• Trust Wallet, popular carteira digital, sofreu um ataque na versão 2.68 do plugin, resultando em perda de aproximadamente R$ 38 milhões.
• O ataque foi contido com uma correção, mas a vulnerabilidade permitiu que invasores capturassem frases de recuperação e transferissem fundos.
• Segundo a empresa, o ataque foi restrito ao ecossistema de desktop, e os valores serão ressarcidos aos usuários afetados.

A Trust Wallet, popular carteira digital para armazenamento de criptomoedas e tokens (NFTs) pertencente à corretora Binance, confirmou na quinta-feira de Natal (25/12) ter sofrido um ataque na extensão do serviço para navegadores.

Os agentes maliciosos, que comprometeram a versão 2.68 do software, permitiram transações não autorizadas. O ataque resultou numa perda de aproximadamente US$ 7 milhões (cerca de R$ 38 milhões) em fundos de usuários.

Em comunicado, a companhia assegurou que o incidente já foi contido com o lançamento de uma correção e garantiu o ressarcimento integral de todos os clientes atingidos. A Trust Wallet pediu aos usuários para não interagirem com a versão vulnerável do plugin até que a atualização seja concluída.

We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.

Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb

Please note: Mobile-only users…

— Trust Wallet (@TrustWallet) December 25, 2025

O que aconteceu?

O problema teve início na véspera de Natal, poucas horas após a liberação da atualização automática para a versão 2.68 da extensão. Nas redes sociais e fóruns especializados, usuários começaram a relatar que os saldos de criptomoedas, como Ethereum e Bitcoin, teriam sido drenados misteriosamente após o uso da ferramenta no computador.

De acordo com o portal Bleeping Computer, a versão comprometida continha um código malicioso injetado, chamado 4482.js, que fingia ser uma ferramenta de análise de dados, mas que monitorava a atividade da carteira e capturava a frase de recuperação quando fosse utilizada ou importada pelo usuário.

Esse script permitia que os invasores recebessem a chave de acesso das vítimas e enviassem os fundos para carteiras externas automaticamente, sem a necessidade de senha ou aprovação do proprietário. Os dados roubados foram enviados a um servidor externo.

Apesar do valor alto que os cibercriminosos conseguiram extrair, o ataque foi restrito ao ecossistema de desktop, não havendo indícios de falhas nos aplicativos móveis para Android e iOS.

Trust Wallet devolverá dinheiro

A empresa reconheceu a gravidade da falha e agiu para remover o vetor de ataque. Segundo a nota oficial, a equipe de segurança identificou e neutralizou a vulnerabilidade com a versão v2.69, lançada para substituir o arquivo corrompido.

Sobre os prejuízos, a Trust Wallet informou que cobrirá o valor roubado dos usuários elegíveis que foram vítimas do ataque à versão anterior.

Como atualizar o serviço?

Para quem utiliza a extensão no navegador, o serviço pediu aos usuários que não a abram clicando no ícone, pois a execução do software pode ativar o roubo de fundos restantes.

A orientação é forçar a atualização pelas configurações do navegador. Siga o passo a passo:

1. Copie e cole este endereço na barra de navegação do Chrome: chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph;
2. Desative a extensão clicando na chave seletora (“Off”) se ela estiver ativa;
3. Ative o “Modo do desenvolvedor” (Developer mode) no canto superior direito da tela;
4. Clique no botão “Atualizar” (Update) localizado na barra superior esquerda;
5. Aguarde o processo e verifique se o número da versão mudou para 2.69.

Além da atualização, especialistas recomendam que usuários que suspeitam de comprometimento criem uma nova carteira do zero e transfiram quaisquer ativos que tenham sobrado, abandonando as credenciais antigas.

Também é recomendável atenção redobrada com golpes de phishing: criminosos estão criando sites falsos prometendo “ferramentas de recuperação” para roubar ainda mais dados das vítimas do ataque original.

Trust Wallet perde R$ 38 milhões em ataque; saiba se proteger