Quase 2 bilhões de e-mails e 1,3 bilhão de senhas foram vazadas ao longo de 2025, de acordo com Troy Hunt, especialista em cibersegurança e criador do Have I Been Pwned. Desse total, 625 milhões de senhas nunca tinham aparecido antes no sistema – é o maior volume de dados que a plataforma já processou.O especialista explicou que esse novo corpus de dados vem de listas de credential stuffing, que são coleções de emails e senhas originadas de outras violações de dados. Os endereços já estão disponíveis para consulta no site.A diferença entre stealer logs e credential stuffingNa semana passada, o TecMundo registrou o vazamento de mais de 180 milhões de endereços de e-mail e senhas, que afetaram principalmente usuários Gmail – mas nada tiveram a ver com falha de segurança do Google. Os dados vieram da Synthient, uma empresa de inteligência de ameaças, e foram provenientes de stealer logs, malwares que rodam em máquinas infectadas e roubam informações.O que foi indexado agora é diferente, são dados de credential stuffing, basicamente coleções de email e senha que vieram de violações anteriores, foram empacotadas, vendidas, redistribuídas e são usadas por cibercriminosos para tentar invadir contas das vítimas.O problema é amplificado porque as pessoas reutilizam senhas. Isso significa que dados de um vazamento de um fórum qualquer podem dar acesso ao email, redes sociais e sites de compras da mesma pessoa. Como Hunt resumiu, é literalmente ter "as chaves do castelo".Leia também: O vazamento de 183 milhões de contas: a engenharia por trás da exposição que atingiu brasileirosEspecialista testou veracidade dos dadosHunt testou a legitimidade dos dados começando pelos próprios registros. Encontrou uma senha antiga que realmente tinha usado, mas também senhas que não reconheceu – incluindo um endereço IP aleatório de Perth, na Austrália. Quando expandiu a verificação para assinantes do HIBP, o padrão se repetiu: senhas antigas confirmadas, algumas ainda em uso.Um dos casos chamou atenção pela ingenuidade: o usuário tinha duas senhas expostas, a segunda era apenas a primeira com dois pontos de exclamação no final. E ele ainda usava essa "versão melhorada" em contas ativas. Outro assinante encontrou uma senha corporativa de quase 10 anos atrás e encaminhou imediatamente pro time de segurança da empresa.Tem também o caso preocupante de uma senha de oito caracteres com maiúsculas, minúsculas, números e símbolos – tecnicamente "forte" segundo a maioria dos critérios – que estava em uso ativo e nunca tinha aparecido no Pwned Passwords antes. Esses exemplos mostram exatamente por que processar esse volume de dados importa: essas credenciais estão circulando entre criminosos agora.Como verificar e o que fazer para se protegerO especialista avisa que, pelo tamanho e veracidade do vazamento, é importante que todos os usuários tomem ação o mais rápido possível, o que inclui:Verificar se algum de seus dados foi vazado: todos podem acessar o site HaveIBeenPwned e pesquisar endereços de email e senhas atuais;Usar um gerenciador de senhas;Criar senhas fortes e únicas para cada serviço;Usar passkeys, uma chave física que elimina as verificações por senha;Ativar autenticação multifator.Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.