16 bilhões de credenciais expostas: Por que esse vazamento de infostealer exige repensar a segurança das aplicações

O recente relatório da CyberNews, que detalha um vazamento de mais de 16 bilhões de credenciais — reunidas a partir de logs de malware infostealer e violações anteriores — oferece informações valiosas para organizações que utilizam identidade digital para proteger seus usuários e serviços. Embora não se trate de um único incidente de violação, a combinação e fácil acesso a esse vasto conjunto de dados ampliam consideravelmente o cenário de ameaças. 

O vazamento compromete diversas plataformas, incluindo credenciais vinculadas a serviços importantes como Apple, Google, Facebook, Microsoft e plataformas SaaS corporativas. Isso eleva o risco de tentativas bem-sucedidas de takeover de contas, tanto em ambientes de consumidores quanto empresariais.

Vazamento de credenciais não é novidade. O que mudou é a industrialização do abuso dessas credenciais. Infostealers coletam silenciosamente credenciais em endpoints infectados e as oferecem em pacotes para venda ou distribuição em massa. Conforme nossa pesquisa interna publicada no começo deste ano, quase um terço de todos os logins dos clientes F5 usaram tentativas com credenciais vazadas. Muitos desses casos envolvem usuários legítimos reutilizando, sem saber, credenciais comprometidas — um risco sério para ataques de account takeover (ATO).

É aqui que a automação amplifica a ameaça. Bots não precisam dormir. Eles não cometem erros de digitação. E testam bilhões de credenciais em milhares de sites com precisão cirúrgica. Como mostra nosso Relatório de Bots Persistentes Avançados 2025, bots respondem por mais de 10% do tráfego web e API, sendo credential stuffing e account takeover os ataques mais comuns.

O relatório da CyberNews destaca uma mudança crucial: a facilidade para abusar de credenciais caiu drasticamente. Com 16 bilhões de credenciais em circulação, os atacantes não precisam invadir seus sistemas — basta encontrar uma correspondência. E com o crescimento das redes de proxy residenciais e plataformas de bot como serviço, até mesmo atores pouco sofisticados conseguem lançar campanhas muito eficazes.

Isso não é apenas um problema de segurança — é um risco para seus negócios. ATOs causam fraudes, perda de clientes, danos à reputação e exposição a regulamentações. Defesas tradicionais como limitação de acesso ou CAPTCHA já não atendem mais.

Até as organizações que adotaram autenticação multifator (MFA) ficam vulneráveis. Por quê? Pois os hackers continuam mirando nas páginas de login para:

• Verifique credenciais roubadas antes de vendê-las.
• Inicie ataques de fadiga de MFA ao sobrecarregar os usuários com notificações push.
• Explore fluxos de fallback, como redefinição de senha ou recuperação via SMS.
• Colete dados comportamentais para aprimorar ataques futuros.

Em resumo, se sua página de login fica exposta na Internet, ela estará vulnerável a bots — e bots não se importam se você usa MFA ou não.  Apresentamos uma análise detalhada de várias técnicas de bypass de MFA em nosso Relatório de Ameaças de Identidade do F5 Labs.

Pressuponha comprometimento: Se você usa apenas senhas, parta do princípio que elas já foram comprometidas.

Aprimore a autenticação multifator existente: Embora a MFA eleve a segurança, bots mais sofisticados ainda conseguem contorná-la. Esses bots não atacam apenas os pontos de login, mas se misturam ao tráfego legítimo, tornando a detecção mais complexa. Por isso, identificar bots confiáveis e atividades maliciosas se torna ainda mais essencial. 

O F5 Distributed Cloud Bot Defense utiliza técnicas proprietárias líderes do setor para coleta e ofuscação de sinais, aliadas à classificação determinística de bots — eliminando a dependência de modelos de pontuação. Especialistas em inteligência de ameaças expandem a capacidade da sua equipe de segurança, garantindo detecção e mitigação em tempo real do credential stuffing, sem comprometer a experiência do usuário.  

Eduque e alerte: Você precisa compreender os riscos ao reutilizar credenciais. Recomendamos que as organizações monitorem continuamente grandes conjuntos de credenciais violadas de fontes externas ou assinem feeds comerciais ou de código aberto que unem dados de ataques. Ao identificar vulnerabilidades, notifique rapidamente os usuários cujo acesso tenha sido comprometido e oriente-os a redefinir suas senhas.

Colabore e compartilhe: Compartilhar inteligência sobre ameaças entre setores é essencial. Quanto mais rápido identificarmos e respondermos a novos padrões de bots, melhor protegemos o ecossistema

Agende uma avaliação de gerenciamento de bots com um especialista da F5.