João Paes
RedatorEscreve sobre tecnologia, games e cultura pop há mais de 10 anos, tendo se interessado por tudo isso desde que abriu o primeiro computador (há muito mais de 10 anos).
O maior pesadelo da segurança digital não começa com um ataque sofisticado, mas com algo muito mais banal: um arquivo esquecido, largado na internet sem qualquer tipo de proteção. Foi exatamente isso que especialistas encontraram ao descobrir um banco de dados MongoDB de 16 terabytes totalmente aberto, expondo cerca de 4,3 bilhões de registros profissionais — um volume de informações que, sem exagero, cobre uma parcela gigantesca da população economicamente ativa do planeta.
A descoberta foi feita pelo pesquisador Bob Diachenko em parceria com a nexos.ai no dia 23 de novembro de 2025. O banco de dados só foi fechado dois dias depois, após os pesquisadores alertarem o responsável. O problema é óbvio: é impossível saber quem teve acesso a esse material antes da correção.
A análise conduzida pelo Cybernews revelou a dimensão do vazamento. O banco continha nove grandes coleções de dados, algumas com bilhões de documentos. Apenas as bases chamadas profiles, unique_profiles e people concentravam quase dois bilhões de registros com informações pessoais identificáveis. Estamos falando de nomes completos, e-mails, telefones, cargos, histórico profissional, empregadores, links de LinkedIn, formação acadêmica, localização, idiomas, habilidades e até URLs de fotos de perfil.
Para piorar, os dados não estavam soltos ou desorganizados. Pelo contrário: tratava-se de um conjunto extremamente estruturado, pronto para buscas, cruzamentos e automação. É exatamente o tipo de material que transforma vazamentos em armas perfeitas para ataques de engenharia social em larga escala.
Segundo os pesquisadores, alguns registros indicam atualizações feitas em 2025, embora parte das informações possa ter origem em coletas antigas — incluindo possíveis dados extraídos de grandes vazamentos do LinkedIn que circulam desde 2021. A autoria do banco segue oficialmente indefinida, mas indícios apontam para uma empresa de geração de leads, cujo discurso público de acesso a “mais de 700 milhões de profissionais” bate de frente com os números encontrados na base exposta.
O risco vai muito além de spam ou golpes genéricos. Com bilhões de perfis detalhados, criminosos podem automatizar ataques altamente personalizados usando inteligência artificial. Phishing direcionado, fraude corporativa, golpes do tipo “CEO fraud” e campanhas focadas em executivos de grandes empresas se tornam não apenas viáveis, mas escaláveis.
Como resume o próprio Cybernews, grandes modelos de linguagem conseguem gerar mensagens sob medida a partir desse tipo de informação. Basta que um único alvo de alto valor caia para que toda a operação seja lucrativa. O vazamento pode ter sido fechado, mas o estrago potencial está feito — e serve como mais um lembrete incômodo de que, na internet, dados esquecidos nunca estão realmente fora de alcance.
Crédito de imagem: Xataka Brasil
Ver 0 Comentários