Pesquisadores de segurança reuniram e analisaram um conjunto gigantesco de credenciais vazadas, cerca de 183 milhões de registros, e parte desses arquivos contém contas Gmail. Os dados não vieram diretamente de empresas como Google: foram compilados a partir de credenciais roubadas por malwares conhecidos como infostealers, que extraem login e senha de computadores e celulares infectados.

O que aconteceu
Especialistas, entre eles Benjamin Brundage, da Sythient, juntaram 3,5 TB de arquivos obtidos em fóruns, grupos de Telegram, mercados da dark web e redes sociais. Esses arquivos tipicamente mostram a URL do site acessado, o e-mail usado como login e a senha, tudo colhido quando o usuário acessou o serviço num dispositivo comprometido.

Como os criminosos conseguem isso
Os infostealers entram em máquinas por meios comuns e sorrateiros: softwares piratas, anexos maliciosos, links enganosos e sites comprometidos. Depois de capturarem as credenciais, os atacantes vendem ou publicam os dados em grandes bases que circulam entre invasores.

Gravidade: há Gmail na lista?
Verificações independentes, incluindo investigações de especialistas que mantêm bancos de dados de vazamentos, confirmaram que há contas Gmail entre os registros. O Google, porém, afirma que não se trata de um ataque exclusivo ao Gmail, mas do reflexo de um problema mais amplo: milhares de credenciais sendo coletadas por diferentes ferramentas maliciosas ao longo do tempo.

Casos verificados
Troy Hunt, criador do site Have I Been Pwned, confirmou ao menos dois casos legítimos onde e-mail e senha do Gmail estavam expostos nos arquivos. Em um deles a vítima confirmou a autenticidade das credenciais; em outro, a vítima reconheceu a lista de sites acessados — principalmente páginas de conteúdo adulto — e apontou outras contas também comprometidas. Ainda não há números precisos sobre quantas senhas vazadas são válidas hoje.

O que você deve fazer agora (passo a passo)

1. Verifique seu e-mail e senha — use serviços confiáveis como Have I Been Pwned para checar se seu e-mail ou senha aparecem em vazamentos (procure a aba “Passwords” para checar senhas).

2. Mude senhas imediatamente — crie senhas fortes, únicas por conta (frases longas + números + símbolos funcionam bem).

3. Ative a verificação em duas etapas (2FA) — essencial: mesmo com a senha vazada, a conta exigirá um segundo fator (SMS, app de autenticação ou chave física). No Google: acesse sua conta em “myaccount.google.com/security”.

4. Revogue sessões e dispositivos desconhecidos — confira dispositivos conectados e encerre sessões suspeitas.

5. Use um gerenciador de senhas — evita repetição de senhas e facilita trocas periódicas.

6. Rode antivírus e varredura antimalware — em PCs e celulares; remova softwares piratas e arquivos suspeitos.

7. Monitore atividades estranhas — e-mails de redefinição que você não solicitou, mensagens estranhas, logins de locais incomuns.

8. Considere autenticação por chave física para contas críticas (mais seguro que SMS).

Como reduzir risco no futuro

• Evite usar softwares piratas e baixar anexos desconhecidos.

• Não clique em links recebidos por redes sociais sem checar o remetente.

• Faça backups e mantenha sistemas e apps atualizados.

Títulos (variações para teste A/B)

• “183 milhões de logins vazados: seu Gmail está nesta lista?”

• “Vazamento massivo: por que infostealers estão roubando senhas — e como se proteger”

• “Gmail, senhas e malware: entenda o vazamento de 183 milhões de registros”