Troy Hunt colocou no Have I Been Pwned um novo conjunto chamado Collection #1, com 772.904.991 endereços de e-mail únicos e mais de 21 milhões de senhas únicas extraídas de várias bases expostas.1 O número impressiona, mas o problema central é mais direto: credenciais antigas continuam circulando e alimentam ataques automatizados contra serviços que nunca foram invadidos.

Collection #1 não deve ser lida como um vazamento único, com uma causa única e uma empresa única a responsabilizar. Ela aparece como uma coletânea de combinações de e-mail e senha vindas de múltiplas origens, em formatos diferentes e com graus variados de limpeza. Esse detalhe muda a resposta. Não basta procurar "o fornecedor afetado". A organização precisa tratar senha reutilizada como risco transversal.

A reutilização vira infraestrutura de ataque

O termo importante aqui é credential stuffing. Atacantes pegam listas de usuário e senha já expostas, automatizam tentativas de login em outros serviços e exploram o hábito de repetir a mesma senha em vários lugares. A eficácia vem justamente da escala: não é preciso conhecer a vítima, apenas testar combinações em volume.

Para usuários, a orientação prática é trocar senhas repetidas e adotar um gerenciador de senhas. Para empresas, a discussão é menos confortável. Se o serviço aceita uma senha já conhecida em vazamentos, ele herda risco de incidentes externos. O banco de dados próprio pode estar íntegro e, ainda assim, contas podem ser tomadas.

O Have I Been Pwned mantém o Pwned Passwords para consulta de senhas já vistas em violações conhecidas, inclusive por API, com foco em bloquear ou alertar sobre escolhas perigosas.2 Isso transforma um incidente público em controle defensivo: impedir que credenciais comprometidas entrem novamente no ciclo.

Login precisa de sinais, não só senha

O impacto de Collection #1 reforça que autenticação não pode depender apenas de par usuário-senha. Senhas únicas reduzem o dano, mas produtos de alto risco precisam combinar MFA, detecção de anomalia, limitação de tentativas, reputação de IP, alertas de login e revisão de sessões ativas.

Há também uma dimensão de suporte. Quando um usuário recebe alerta de vazamento, ele tende a perguntar qual site "vazou" a senha. Em coleções agregadas, essa resposta pode ser impossível. O atendimento precisa explicar que a ameaça está na reutilização e orientar ações verificáveis: trocar senhas repetidas, ativar segundo fator e revisar contas críticas.

O inventário de identidade fica mais urgente

Equipes de segurança devem olhar para diretórios corporativos, portais de cliente e sistemas legados com a mesma pergunta: quantas contas ainda dependem de senhas fracas, antigas ou reaproveitadas? A resposta exige telemetria. Sem logs de autenticação, proteção contra automação e políticas de senha informadas por vazamentos, o risco fica invisível até virar fraude.

Collection #1 é grande o suficiente para chamar atenção pública, mas o padrão que ela revela é cotidiano. Bases antigas não desaparecem, senhas reaparecem em novas listas e atacantes automatizam o reaproveitamento. A defesa começa quando produto, segurança e suporte tratam credenciais como um ciclo vivo, não como um campo de formulário resolvido no cadastro.

  1. Troy Hunt, "The 773 Million Record 'Collection #1' Data Breach", 17 jan. 2019.
  2. Have I Been Pwned, "Pwned Passwords", serviço de consulta de senhas expostas.