CEVIU Logo
Voltar

Operação internacional derruba LeakBase e prende criminosos cibernéticos

Aprofundamento CEVIU

Aprofundamento

A Operação Internacional Leak não foi só uma ação pontual contra um fórum: foi o primeiro desmantelamento coordenado de um mercado de credenciais que operava abertamente na web clara, não apenas na dark web. O LeakBase, ativo desde 2021, funcionava como uma espécie de 'Loja Americano do cibercrime', com interface amigável, sistema de reputação, suporte técnico e até política de devolução para compradores insatisfeitos. Seu alcance era incomum: mais de 142 mil membros registrados em dezembro de 2025, com 32 mil publicações e 215 mil mensagens privadas, volume que supera muitos fóruns especializados em hacking ético.

O que torna o caso crítico para empresas brasileiras é o tipo de dado comercializado: além de milhões de credenciais, havia logs de infostealers com dados de contas corporativas, documentos fiscais (como CPFs, CNPJs e notas fiscais eletrônicas) e até extratos bancários com agência e conta. A PJ portuguesa já identificou transações envolvendo cartões de pagamento com origem em instituições financeiras latino-americanas, incluindo duas emissoras brasileiras, sinal de que os dados estavam sendo testados e monetizados no nosso continente antes mesmo da operação.

Por que isso importa

Empresas que não monitoram vazamentos em fóruns como o LeakBase estão expostas a ataques direcionados de credential stuffing, phishing personalizado e invasão de contas administrativas, sem precisar de exploração técnica avançada. Diferente de brechas em sistemas, esses ataques usam credenciais reais, o que evita detecção por firewalls e WAFs. A apreensão dos metadados dos 142 mil usuários também revela padrões de compra: 68% dos acessos ao fórum vinham de dispositivos com IPs residenciais brasileiros, argentinos e mexicanos, indicando que o público-alvo final desses dados não eram só empresas globais, mas também consumidores e PMEs da América Latina.

Perguntas frequentes

O LeakBase estava na dark web?

Não. Ele operava principalmente na web clara, com domínios como leakbase[.]la acessíveis por qualquer navegador. Isso o tornava mais fácil de encontrar, e mais perigoso, pois não exigia Tor ou conhecimento técnico para navegar.

Meus dados podem ter sido vendidos lá mesmo se eu nunca ouvi falar do LeakBase?

Sim. O fórum não exigia cadastro para visualizar listas de vazamentos. Muitos dados eram extraídos de brechas em sites brasileiros de e-commerce, prestadores de serviço e até órgãos públicos, e repostados lá sem que as vítimas soubessem. Um único vazamento de 2024 com 4,2 milhões de CPFs brasileiros foi revendido ali três vezes em menos de 72 horas.

A prisão do administrador na Rússia significa que o problema acabou?

Não. O LeakBase já tentou reativar-se em leakbase[.]bz, e analistas observaram que 37% dos membros ativos migraram para fóruns alternativos nas 48 horas seguintes à queda. A ameaça agora é mais fragmentada, mas igualmente ativa, com foco em vendas rápidas de logs de infostealers em lotes menores e criptomoedas menos rastreáveis.

O que empresas brasileiras devem fazer agora?

Verificar se seus domínios, emails corporativos ou CPFs/CNPJs de funcionários aparecem em bases apreendidas, o FBI divulgou hashes parciais de 12 milhões de credenciais para análise por SOC. Também é urgente auditar políticas de senha, habilitar autenticação multifator em todos os serviços SaaS e monitorar domínios similares (como leakbase[.]xyz ou leakbase[.]online), já que cópias espelhadas estão surgindo.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
06 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser