Base Elasticsearch exposta com 24 bilhoes de credenciais e 8,3 TB de logs de infostealer revela mercado industrial de roubo de senhas alimentado por Telegram

Pesquisadores da Cybernews encontraram em 12 de junho um cluster Elasticsearch exposto ao publico contendo 24 bilhoes de registros e mais de 8,3 terabytes de credenciais roubadas — em sua maioria logs de infostealers, somados a colecoes de breaches e dumps de canais de Telegram criminosos. A base reune 36 fontes distintas, 1,7 bilhao de registros vindos de Telegram (englobando ate o ecossistema do antigo ransomware DarkSide), e mostra evidencias de que o dono da base monitora ativamente o cenario de seguranca para manter o inventario sempre atualizado. O servidor foi retirado do ar logo apos o descobrimento.

O que aconteceu

Em 12 de junho de 2026, a equipe de pesquisa da Cybernews identificou um cluster Elasticsearch sem autenticacao, exposto na internet publica, armazenando 24 bilhoes de registros e mais de 8,3 TB de dados. A descoberta foi posteriormente revisada e os numeros confirmados em triagem dedicada. Pouco tempo depois da divulgacao aos donos (de identidade desconhecida) a base ficou fora do ar — sem aviso, sem nota, sem cooperacao com pesquisadores.

A grande maioria das entradas e composta por logs de infostealer: usuario, e-mail, senha em texto claro e a URL do servico que aquela credencial deveria abrir. Esse e o formato de cabecalho padrao de familias como RedLine, Lumma, StealC, Vidar, Raccoon e similares, vendido em pacotes diarios e semanais nos canais criminosos.

Vinte e quatro bilhoes nao e erro de digitacao. Mesmo descontando duplicatas (cujo volume nao foi mensurado), e ordem de grandeza superior a qualquer base agregada publicamente conhecida de credenciais roubadas, incluindo as colecoes “Compilation of Many Breaches” (COMB) e os pacotes RockYou agregados.

Como a base esta organizada

Os dados vem de 36 fontes catalogadas. Mais de 30 delas sao canais de Telegram, com volumes que vao de poucos milhares a centenas de milhoes de registros, escritos em ingles e russo. O bloco principal, com 22,6 bilhoes de registros, esta rotulado de forma deliberadamente generica como “collections”, e nao foi possivel investigar essas origens antes da retirada do ar.

• 1,7 bilhao de registros vindos de canais de Telegram envolvidos em cibercrime
• 22,6 bilhoes em “collections” (origem nao detalhada antes do takedown)
• Aprox. 260 milhoes de registros vindos de canais com “Darkside” no nome (grupo do ataque ao Colonial Pipeline)
• ~150 milhoes em “local database dumps” (downloads diretos de servidores comprometidos)
• ~146 milhoes em “breach compilation combo” (recompilacoes antigas reembaladas)
• ~17 mil entradas adicionais contendo IDs de CVEs e links de GitHub
• ~5.200 logs de noticias sobre violacoes recentes
• ~2.900 logs de posts em redes sociais sobre incidentes de seguranca

“Tudo isso aponta para um operador monitorando ativamente o cenario de ciberseguranca, com a intencao provavel de manter sua vasta colecao de credenciais sempre atualizada com registros das ultimas violacoes e vazamentos de dados.”

Equipe Cybernews

Quem corre risco e por que

A pergunta importante nao e quantos brasileiros tem credenciais nessa base; e quantos brasileiros NAO tem. Logs de infostealer em volume bilionario incluem necessariamente uma fatia significativa do publico de e-commerce, redes sociais, contas Microsoft 365, Google, Apple, bancos e fintechs, alem de credenciais corporativas e VPNs SSL captadas em maquinas pessoais usadas para acesso a recursos da empresa (BYOD).

• Account takeover em massa contra servicos sem MFA forte
• Credential stuffing contra portais corporativos e bancarios
• Phishing direcionado com personalizacao a partir de credenciais antigas conhecidas
• Extorsao por exposicao de contas de adultos, jogos, infidelidade ou conteudo sensivel
• Acesso inicial vendido a operadores de ransomware (Initial Access Brokers)
• Hijack de cadeias de OAuth em SSO corporativo via sessoes capturadas junto das credenciais

Analise

A historia importante aqui nao e o numero bruto, e sim a evolucao do mercado de credenciais como infraestrutura industrial. O operador da base nao e um colecionador estatico de leaks antigos: e um agregador profissional, com pipeline de ingestao continua a partir de canais de Telegram, com monitoramento de noticias e CVEs para alimentar reconhecimento, e provavelmente com clientes ou parceiros que consomem essa base como servico (Credential Access as a Service). A diferenca entre 2020 e 2026 e essa transicao do amador para o industrial, no mesmo modelo que o ecossistema de ransomware seguiu uma decada atras.

A presenca de 260 milhoes de registros etiquetados como DarkSide e relevante simbolicamente: o grupo foi formalmente dissolvido apos o Colonial Pipeline em 2021, e seu sucessor BlackMatter teve curta vida. Mas os dados (e os atores por tras) reaparecem em fluxos como esse, evidenciando que disrupcoes operacionais raramente eliminam capital criminoso de longo prazo. As pessoas e os dados continuam circulando entre marcas.

Para defensores no Brasil, a leitura honesta e: assuma que a maior parte da sua base de usuarios e funcionarios tem credenciais comprometidas circulando, e desenhe arquitetura de seguranca em cima dessa hipotese. MFA por SMS nao basta. Senhas longas e unicas nao bastam isoladamente. O que importa hoje e onde sua superficie de ataque depende exclusivamente de “usuario e senha corretos” para autenticar.

Recomendacoes praticas

• Migre MFA SMS-based para autenticadores TOTP ou, preferencialmente, FIDO2/WebAuthn (resistencia a phishing)
• Imponha gerenciador de senhas corporativo com senhas geradas e unicas por servico
• Integre verificacao de credenciais comprometidas (HaveIBeenPwned, Spycloud, Recorded Future) em fluxos de cadastro e troca de senha
• Detecte e bloqueie infostealers no endpoint via EDR moderno; force re-autenticacao apos qualquer alerta de roubo de credencial
• Revogue refresh tokens e sessoes ativas (Microsoft 365, Google Workspace, Salesforce, GitHub) periodicamente e quando houver indicio de stealer
• Implemente politicas Zero Trust para acesso remoto, com avaliacao continua de risco do dispositivo
• Para usuario final brasileiro: ative chaves de seguranca FIDO2 onde possivel (GOV.BR, Google, Microsoft, GitHub, Apple suportam) e desabilite SMS como segundo fator
• Para CISOs: trate credential stuffing como vetor permanente, nao como ataque pontual; metricas de bloqueio de login devem ir para o board

Fonte: Security Affairs