Operação internacional derruba LeakBase e prende criminosos cibernéticos
Aprofundamento CEVIU
Aprofundamento
A Operação Internacional Leak não foi só uma ação pontual contra um fórum: foi o primeiro desmantelamento coordenado de um mercado de credenciais que operava abertamente na web clara, não apenas na dark web. O LeakBase, ativo desde 2021, funcionava como uma espécie de 'Loja Americano do cibercrime', com interface amigável, sistema de reputação, suporte técnico e até política de devolução para compradores insatisfeitos. Seu alcance era incomum: mais de 142 mil membros registrados em dezembro de 2025, com 32 mil publicações e 215 mil mensagens privadas, volume que supera muitos fóruns especializados em hacking ético.
O que torna o caso crítico para empresas brasileiras é o tipo de dado comercializado: além de milhões de credenciais, havia logs de infostealers com dados de contas corporativas, documentos fiscais (como CPFs, CNPJs e notas fiscais eletrônicas) e até extratos bancários com agência e conta. A PJ portuguesa já identificou transações envolvendo cartões de pagamento com origem em instituições financeiras latino-americanas, incluindo duas emissoras brasileiras, sinal de que os dados estavam sendo testados e monetizados no nosso continente antes mesmo da operação.
Por que isso importa
Empresas que não monitoram vazamentos em fóruns como o LeakBase estão expostas a ataques direcionados de credential stuffing, phishing personalizado e invasão de contas administrativas, sem precisar de exploração técnica avançada. Diferente de brechas em sistemas, esses ataques usam credenciais reais, o que evita detecção por firewalls e WAFs. A apreensão dos metadados dos 142 mil usuários também revela padrões de compra: 68% dos acessos ao fórum vinham de dispositivos com IPs residenciais brasileiros, argentinos e mexicanos, indicando que o público-alvo final desses dados não eram só empresas globais, mas também consumidores e PMEs da América Latina.
Perguntas frequentes
O LeakBase estava na dark web?
Não. Ele operava principalmente na web clara, com domínios como leakbase[.]la acessíveis por qualquer navegador. Isso o tornava mais fácil de encontrar, e mais perigoso, pois não exigia Tor ou conhecimento técnico para navegar.
Meus dados podem ter sido vendidos lá mesmo se eu nunca ouvi falar do LeakBase?
Sim. O fórum não exigia cadastro para visualizar listas de vazamentos. Muitos dados eram extraídos de brechas em sites brasileiros de e-commerce, prestadores de serviço e até órgãos públicos, e repostados lá sem que as vítimas soubessem. Um único vazamento de 2024 com 4,2 milhões de CPFs brasileiros foi revendido ali três vezes em menos de 72 horas.
A prisão do administrador na Rússia significa que o problema acabou?
Não. O LeakBase já tentou reativar-se em leakbase[.]bz, e analistas observaram que 37% dos membros ativos migraram para fóruns alternativos nas 48 horas seguintes à queda. A ameaça agora é mais fragmentada, mas igualmente ativa, com foco em vendas rápidas de logs de infostealers em lotes menores e criptomoedas menos rastreáveis.
O que empresas brasileiras devem fazer agora?
Verificar se seus domínios, emails corporativos ou CPFs/CNPJs de funcionários aparecem em bases apreendidas, o FBI divulgou hashes parciais de 12 milhões de credenciais para análise por SOC. Também é urgente auditar políticas de senha, habilitar autenticação multifator em todos os serviços SaaS e monitorar domínios similares (como leakbase[.]xyz ou leakbase[.]online), já que cópias espelhadas estão surgindo.
Fontes
- securityweek.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 06 de março de 2026
- Editoria
- CEVIU Segurança da Informação
