Um suposto vazamento de pelo menos 183 milhões de contas de Gmail, Outlook e Yahoo expôs endereços de e-mail e senhas de usuários, segundo o site especializado Have I Been Pwned (HIBP), que monitora incidentes de segurança na internet.

De acordo com a plataforma, o ataque não é recente: ele foi descoberto originalmente em abril de 2025, mas uma nova análise identificou 16,4 milhões de contas adicionais que não haviam sido incluídas na primeira divulgação. Ao todo, o conjunto de dados tem 3,5 terabytes, o maior arquivo com 2,6 TB, e reúne cerca de 23 bilhões de linhas de informações.

Como ocorreu o roubo das senhas

Segundo o HIBP, os dados foram obtidos por meio de um tipo de programa malicioso chamado infostealer, projetado para infectar dispositivos e capturar informações pessoais.

Quando o malware atinge um computador, ele coleta logins e senhas no momento em que o usuário acessa sites que exigem autenticação, como e-mails, redes sociais ou lojas virtuais. Nesse caso, os criminosos tiveram acesso ao endereço do site visitado, ao e-mail e à senha da vítima.

O Have I Been Pwned permite verificar se um e-mail está incluído nesse ou em outros vazamentos conhecidos. O serviço é gratuito e amplamente reconhecido por especialistas em cibersegurança.

O que dizem as empresas

O Google confirmou que houve uma atualização no banco de dados do HIBP, mas destacou que as 183 milhões de contas não pertencem exclusivamente ao Gmail.

“É importante que os usuários saibam que esse tipo de atividade maliciosa ocorre, mas este não é um caso único nem específico do Gmail”, afirmou a empresa.

A Microsoft (Outlook) e o Yahoo não se pronunciaram até a última atualização desta reportagem. O criador do HIBP, Troy Hunt, disse em entrevista ao Daily Mail que outras empresas também foram afetadas, mas preferiu não revelar quais.

O que fazer se sua conta estiver entre as afetadas

Especialistas em segurança digital alertam que nem sempre é possível confirmar um vazamento de forma imediata, mas recomendam trocar senhas potencialmente comprometidas como medida preventiva.

Veja algumas práticas essenciais para proteger suas contas:

Criação de senhas seguras

• Use senhas longas e criativas — uma frase curta ou trecho de música pode ser uma boa base.
• Combine letras maiúsculas, minúsculas, números e símbolos especiais (@, #, $).
• Evite repetições: crie uma senha diferente para cada serviço.

Gerenciadores de senha recomendados

Para lembrar de todas as senhas com segurança, use gerenciadores confiáveis com criptografia:

• Gratuitos: Gerenciador do Google (Chrome), LastPass, Microsoft Authenticator, KeePass.
• Pagos: Dashlane, 1Password, Dropbox Passwords.

Autenticação em dois fatores (2FA)

Ative a autenticação em dois fatores, recurso que exige uma segunda confirmação de login (como código no celular ou notificação). Plataformas como WhatsApp, Instagram, Facebook, Google, TikTok, X (antigo Twitter) e gov.br oferecem essa opção.

Passkeys: o futuro do login sem senha

Empresas como Google, Apple, Microsoft e Meta têm adotado as chamadas chaves de acesso (passkeys), que substituem senhas por métodos biométricos (como impressão digital ou reconhecimento facial) ou PINs locais.

O objetivo é eliminar a dependência de senhas tradicionais, reduzindo riscos de phishing e vazamentos.

Cuidado com o phishing

Mesmo sem um vazamento, criminosos podem roubar dados por meio de e-mails e sites falsos. Sempre verifique o endereço do site, desconfie de mensagens urgentes e evite clicar em links suspeitos.

Dica: se o link parecer “quase igual” ao original, com letras trocadas ou domínios diferentes, é melhor não acessar.

O suposto vazamento de 183 milhões de contas reforça a importância de higiene digital constante:
mudar senhas com frequência, evitar reutilizá-las e ativar camadas extras de proteção.

Um simples hábito — como a autenticação em dois fatores — pode ser o que separa sua conta de um invasor.