Um investigador de cibersegurança descobriu um vasto repositório de credenciais de login roubadas, acessível publicamente, coletadas de dispositivos pessoais infectados por malware. Jeremiah Fowler, um reconhecido investigador de segurança, destacou um conjunto de dados contendo cerca de 149 milhões de nomes de utilizador e palavras-passe recolhidos de smartphones e computadores. Os registos abrangem uma variedade de serviços, incluindo plataformas sociais como Facebook e Instagram, serviços de streaming como Netflix, e contas relacionadas com criptomoedas vinculadas à bolsa Binance — das quais pelo menos 420.000 credenciais estavam associadas a utilizadores da Binance. A descoberta sublinha como malware de roubo de credenciais continua a infiltrar-se em dispositivos do dia a dia, expondo os utilizadores a ataques de phishing, tomada de conta e abuso entre plataformas.
Principais conclusões
O conjunto de dados, reportado pela ExpressVPN, representa um dump de credenciais de malware infostealer, e não uma violação dos sistemas de uma única empresa.
Contagens de registos por serviço são substanciais: 48 milhões de contas Gmail, 4 milhões de contas Yahoo, 17 milhões de contas Facebook, 6,5 milhões de contas Instagram, 3,4 milhões de contas Netflix e 780.000 contas TikTok, entre outros.
A Binance é nomeada especificamente no dump, com pelo menos 420.000 credenciais associadas aos seus utilizadores, destacando o risco para contas de trocas de criptomoedas processadas através de dispositivos comprometidos.
Especialistas em segurança reforçam que esta é uma exposição a nível de endpoint — as credenciais foram recolhidas de dispositivos finais, não da infraestrutura interna da Binance.
Investigadores alertam que contas relacionadas com o governo e domínios .gov aparecem no conjunto de dados, levantando preocupações sobre phishing e impersonificação, além dos riscos financeiros.
Títulos mencionados:
Contexto de mercado: O incidente acrescenta à crescente consciência de que o roubo de credenciais continua a ser um vetor principal para acessos não autorizados, especialmente para utilizadores de criptomoedas que frequentemente reutilizam palavras-passe entre serviços ou dependem de dispositivos que podem carecer de controles de segurança robustos.
Sentimento: Neutro
Impacto no preço: Neutro. O relatório centra-se na exposição de credenciais, e não em movimentos imediatos do mercado ou transferências de ativos, embora destaque riscos de segurança mais amplos para trocas e carteiras.
Ideia de negociação (Não é aconselhamento financeiro): Manter. O evento reforça a necessidade de práticas de autenticação mais fortes e higiene do utilizador, em vez de respostas de negociação ad hoc a fugas de credenciais.
Contexto de mercado: A segurança do dispositivo do utilizador final e a higiene de credenciais continuam a moldar o risco no ecossistema cripto, com trocas e carteiras a enfatizar a defesa contra phishing, autenticação multifator e educação do utilizador como linhas de defesa essenciais.
Por que é importante
A divulgação de um conjunto de dados de 94 gigabytes de infostealer — contendo centenas de milhões de credenciais — serve como um lembrete claro de que o perímetro de segurança para utilizadores de cripto começa ao nível do dispositivo. A amplitude do conjunto de dados é notável: dezenas de milhões de contas Gmail, milhões de logins em redes sociais e centenas de milhares de credenciais relacionadas com criptomoedas vinculadas à Binance. Embora os investigadores de segurança reforcem que não se trata de uma violação dos sistemas da Binance, a exposição evidencia como os atacantes operam na natureza: compilando vastos tesouros de credenciais de dispositivos comprometidos e tentando reutilizar login entre sites ou realizar campanhas de phishing para monetizá-las.
Fowler enfatiza o risco sistémico: malware de roubo de credenciais prospera onde os dispositivos executam software desatualizado ou práticas de segurança fracas persistem. “Este não é o primeiro conjunto de dados deste tipo que descobri, e apenas destaca a ameaça global representada pelo malware de roubo de credenciais,” escreveu na publicação da ExpressVPN. “Contas de serviços financeiros, carteiras de criptomoedas ou contas de trading, acessos bancários e de cartões de crédito também apareceram na amostra limitada de registos que revisei.” A variedade de serviços representados indica que os atacantes não estão apenas a procurar contas sociais ou acesso a streaming; procuram qualquer porta de entrada que possa desbloquear ativos financeiros ou dados pessoais sensíveis.
A composição do conjunto de dados inclui uma mistura de contas de consumo (Gmail, Yahoo, Facebook, Instagram, Netflix, TikTok) juntamente com serviços financeiros e relacionados com criptomoedas. Para utilizadores de cripto, o risco é duplo: comprometimento direto de contas e o potencial de campanhas de phishing que se disfarçam de comunicações legítimas de plataformas confiáveis. Na prática, uma única conta Gmail ou rede social comprometida pode ser usada para redefinir palavras-passe em trocas de cripto, carteiras ou serviços relacionados, permitindo transferências não autorizadas ou recolha de credenciais em grande escala. A exposição destaca um tema persistente na segurança de cripto: os atacantes preferem caminhos de acesso de baixa fricção que evitam atrito do utilizador, especialmente quando os dispositivos permanecem vulneráveis a infecções por malware.
Além do risco imediato para contas individuais, o relatório nota um número preocupante de credenciais vinculadas a domínios governamentais e endereços .gov. Embora estas entradas possam ser menos diretamente monetizáveis do que contas financeiras, aumentam a ameaça de phishing e impersonificação. Os atacantes podem impersonar agências governamentais em campanhas de engenharia social, aumentando a confiança e a probabilidade de conformidade do utilizador com pedidos fraudulentos. A mensagem mais ampla é clara: a segurança deve ser abrangente — cobrindo dispositivos, autenticação, educação do utilizador e resposta rápida a exposições de credenciais.
A comunidade de segurança cripto tem vindo a alertar há anos sobre famílias de malware infostealer — malware que extrai silenciosamente logins guardados de dispositivos infectados. Um relatório recente da Kaspersky sobre uma família mais recente de infostealers — frequentemente descrita como Stealka — ilustra como os atacantes pivotam entre a entrega de trojans direcionados a carteiras, extensões de navegador e módulos de mineração de cripto, tudo enquanto se disfarçam de mods ou cracks legítimos de jogos. O alcance do malware abrange mais de 100 navegadores e mira dezenas de trocas, incluindo Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask, entre outros. Tais desenvolvimentos reforçam um tema central: à medida que a superfície de ataque se expande, também aumenta a necessidade de defesas robustas nos endpoints e práticas de password mais seguras.
Um site falso que finge oferecer scripts para Roblox, Fonte: Kaspersky
Dado o volume de dados e a diversidade de alvos, as equipas de segurança reforçam abordagens de prevenção. A resposta da Binance, detalhada num post de blog de março de 2025, ilustra como as trocas estão a tornar-se cada vez mais proativas: monitorizando conversas na dark web por credenciais comprometidas, alertando utilizadores afetados, forçando redefinições de password e revogando sessões comprometidas. Embora a Binance afirme que este incidente resulta de comprometimento do dispositivo do utilizador final, e não de uma violação dos seus sistemas internos, o episódio reforça um princípio fundamental de cibersegurança: mesmo as defesas mais fortes de uma troca são tão fortes quanto o elo mais fraco — muitas vezes, o dispositivo e os hábitos do utilizador.
Para reduzir riscos, Fowler e outros investigadores defendem uma segurança em camadas que combine ferramentas robustas de antivírus e anti-malware com atualizações regulares do sistema, autenticação multifator baseada em hardware e uma higiene de password diligente. O objetivo é detectar atividades suspeitas precocemente, bloquear acessos não autorizados e interromper os workflows dos atacantes antes que fundos possam ser movimentados ou contas exfiltradas. À medida que o ecossistema cripto continua a evoluir, a atenção à segurança do endpoint provavelmente se intensificará, impulsionando a procura por uma melhor educação do utilizador, padrões de autenticação mais fortes e arquiteturas de carteiras e trocas mais resilientes.
O que acompanhar a seguir
Acompanhe quaisquer atualizações da ExpressVPN sobre o conjunto de dados de 149 milhões de infostealer e novas análises sobre a composição dos dados.
Fique atento a confirmações adicionais da Binance relativas a avisos aos utilizadores, campanhas de redefinição de password e revogação de sessões em resposta a fugas de credenciais.
Monitore análises mais aprofundadas de investigadores de segurança sobre os detalhes do infográfico, incluindo as possíveis implicações entre serviços e relações entre contas comprometidas.
Avalie o impacto de famílias mais recentes de infostealers, como Stealka, em carteiras de cripto e extensões de navegador, e quaisquer mudanças resultantes nas ferramentas de defesa ou nos padrões de segurança do mercado.
Fontes & verificação
Blog da ExpressVPN: Análise de Jeremiah Fowler do conjunto de dados de 149 milhões de infostealer e os serviços afetados.
Blog de segurança da Binance (março de 2025): declarações sobre monitorização de credenciais, alertas aos utilizadores, redefinições de password e revogação de sessões em resposta ao incidente.
Pesquisa da Kaspersky: análise de Stealka e seu alvo em carteiras, extensões de navegador e trocas, incluindo um alcance amplo de navegadores e plataformas.
Cobertura do Cointelegraph: discussão de incidentes relacionados, incluindo a violação do SwapNet e outros eventos de segurança de cripto referenciados na cobertura.
Exposição de credenciais e o panorama de ameaças em evolução
O conjunto de dados exposto evidencia uma vulnerabilidade persistente: dispositivos de consumo com software não atualizado e práticas de segurança fracas continuam a ser terreno fértil para roubo de credenciais. A variedade de serviços representados permite aos atacantes tentar explorações entre serviços, campanhas de phishing e táticas de engenharia social que atingem utilizadores no ecossistema de cripto e na internet convencional. Embora Binance e outras plataformas reforcem que os sistemas principais permanecem seguros, incidentes deste tipo iluminam o risco constante ligado aos endpoints do utilizador final e a necessidade de estratégias de defesa em profundidade que integrem segurança de dispositivos, fortalecimento da autenticação e consciencialização do utilizador.
O que isto significa para utilizadores e construtores
Para utilizadores individuais, a mensagem é simples, mas impactante: reforçar a importância de palavras-passe únicas e fortes para cada serviço, ativar a autenticação multifator baseada em hardware sempre que possível, e manter software de segurança atualizado em todos os dispositivos. Para desenvolvedores e operadores no espaço cripto, a mensagem é dupla: construir fluxos de autenticação que resistam a ataques de credential stuffing e reutilização de passwords, e investir em campanhas de educação do utilizador que reforcem a importância da higiene de credenciais além da tela de login. Num cenário onde os atacantes usam cada vez mais serviços legítimos como trampolins, a proteção robusta da identidade torna-se um elemento fundamental de confiança e resiliência nos ecossistemas de cripto.
Este artigo foi originalmente publicado como 149M Infostealer Data Dump Reveals Crypto Users on Crypto Breaking News – sua fonte de confiança para notícias de cripto, notícias de Bitcoin e atualizações de blockchain.
