Por Everson Probst, sócio de Cibersegurança da Grant Thornton Brasil
A exposição de credenciais online — sejam recentes ou antigas — segue como um dos principais vetores de ameaça à segurança da informação, tanto para indivíduos quanto para organizações. A divulgação de uma nova megabase contendo mais de 16 bilhões de pares de login e senha, acessível publicamente, reforça a urgência em tratar esse risco com prioridade executiva.
Mais do que um alerta estatístico, esse tipo de ocorrência confirma um padrão crescente: credenciais aparentemente inofensivas têm sido a chave para ataques cibernéticos complexos, sustentados por um ecossistema de crime digital cada vez mais estruturado. O reaproveitamento de senhas, a sincronização entre dispositivos pessoais e corporativos e o uso de dados reais em ataques de engenharia social transformam um único ponto fraco em um risco sistêmico.
A compilação divulgada em 19 de junho é emblemática. A base supera em 90% o volume do vazamento RockYou2021 — antes considerado um dos maiores já registrados — e representa, na média, duas credenciais por habitante do planeta. Embora haja duplicidade, uma parte significativa dessas senhas ainda é válida e representa risco real.
Ao contrário do que sugerem manchetes sensacionalistas, não houve invasão direta a grandes corporações como Apple, Google ou Facebook. O incidente decorre da combinação entre vazamentos antigos e novos dados capturados por malwares que acessam credenciais armazenadas nos navegadores das vítimas.
O resultado é um acervo altamente sensível, com logins de serviços como Apple ID, Google, Facebook, GitHub, Telegram, redes VPN e portais governamentais. Muitas dessas credenciais permanecem ativas e são exploradas por ferramentas automatizadas que realizam ataques em larga escala com alta eficiência.
O comportamento dos usuários é um fator crítico. Segundo a Bitwarden (World Password Day 2025), 72% da Geração Z reutiliza senhas, contra 42% dos Boomers. Além disso, 38% das pessoas alteram apenas um caractere ao atualizar uma senha. A Cloudflare (2024) revela que 41% dos logins bem-sucedidos em seus sites envolvem senhas comprometidas.
Já a JumpCloud estima que 60% dos usuários reaproveitam senhas em diferentes sites — e 13% usam a mesma senha em todas as contas. No ambiente corporativo, 50% dos profissionais utilizam as mesmas credenciais em plataformas pessoais e empresariais. Ou seja, uma senha vazada de um serviço de streaming pode servir como porta de entrada para sistemas sensíveis como e-mails corporativos, plataformas financeiras ou ambientes de nuvem. E nem sempre trocar a senha resolve: sessões ativas ou integrações sincronizadas podem manter o acesso para o invasor por dias ou semanas.
Riscos ampliados para usuários
Ataques não se limitam à conta comprometida. Muitos sistemas mantêm tokens de sessão válidos mesmo após a alteração da senha, permitindo acessos persistentes. Além disso, senhas salvas em navegadores de dispositivos pessoais podem ser automaticamente sincronizadas com ambientes corporativos.
Com ferramentas como o OpenBullet, cibercriminosos realizam ataques de credential stuffing as a service, modelo que oferece infraestrutura e suporte para automatizar invasões usando senhas vazadas e reutilizadas em massa. Uma única credencial comprometida pode desencadear um efeito dominó: da conta pessoal ao e-mail da empresa, da VPN ao Active Directory. A engenharia social baseada em dados reais — como e-mails com senhas legítimas e mensagens de phishing contextualizadas — amplia o potencial de dano.
Riscos para as empresas
As organizações enfrentam ameaças jurídicas e operacionais relevantes. Sob a Lei Geral de Proteção de Dados (LGPD), há possibilidade de corresponsabilidade por acessos indevidos quando há falhas na proteção de credenciais. Do ponto de vista operacional, o impacto também é elevado: estima-se que cada alerta de login suspeito exija, em média, 15 horas de trabalho do Centro de Operações de Segurança (SOC). Se 0,1% das 16 bilhões de credenciais forem válidas, podem resultar em até 16 milhões de incidentes potenciais.
Apesar desse cenário, dados da pesquisa de percepção de riscos cibernéticos da Grant Thornton Brasil mostram que apenas 36% das empresas brasileiras consideram o roubo de credenciais como uma das principais ameaças. E, embora 69,7% afirmem promover treinamentos de segurança digital, apenas 21,4% os consideram eficazes. Outro ponto crítico é a fragilidade da cadeia de suprimentos: metade das empresas não realiza due diligence de risco com terceiros, mesmo com fornecedores e parceiros sendo uma das principais portas de entrada para vazamentos.
Reforço de proteção: prioridades para usuários e empresas
Para usuários, boas práticas incluem o uso de gerenciadores de senhas, a criação de frases de segurança longas, a adoção de passkeys sempre que possível e a ativação de autenticação multifator (MFA) por TOTP ou push — evitando o uso de SMS. Também é essencial verificar exposições em plataformas como o Have I Been Pwned e revogar sessões antigas.
Já para as empresas, recomenda-se atuar em cinco frentes estratégicas:
- Bloqueio de senhas vazadas, integrando AD ou IdP com bancos de dados como o HIBP, conforme o NIST 800-63-B;
- Adoção de MFA resistente a phishing para todos os acessos sensíveis, incluindo administrativos;
- Monitoramento de comportamento anômalo de login, com base em frameworks como o MITRE ATT&CK (T1110.004);
- Simulações de resposta a vazamento de credenciais, alinhadas à ISO 27001 (A.17);
- Implantação de due diligence contínua com fornecedores e terceiros críticos.
A substituição de senhas fracas e reutilizadas por tecnologias mais seguras como passkeys já deveria estar consolidada. Políticas ultrapassadas de criação e gestão de credenciais devem ser revistas com urgência. Cabe às lideranças priorizar ações preventivas, fortalecer processos de monitoramento e garantir treinamentos contínuos e eficazes. Mitigar esse tipo de risco não é apenas uma questão técnica — é uma decisão estratégica de resiliência corporativa.
Assessoria de imprensa da Grant Thornton: gt@wearesmart.com.br
