Uma empresa de cibersegurança publicou que um conjunto de informações relacionado a aproximadamente 1,5 milhão de usuários da Binance teria sido colocado à venda online. O anúncio do vendedor identificado como PexRat teria listado dados como nomes, endereços de e‑mail, telefones, último IP de login e até status de KYC e 2FA.
A divulgação ganhou atenção por envolver uma das maiores corretoras do mercado, levantando dúvidas sobre a origem e o impacto desses dados.
O fundador da exchange, Changpeng Zhao (CZ), contestou a narrativa dizendo que o material examinado não prova uma intrusão nos sistemas da plataforma. Em paralelo, a própria empresa de segurança emitiu esclarecimentos que alteraram a interpretação inicial: em vez de um vazamento direto dos servidores, as evidências apontaram para credenciais coletadas em dispositivos pessoais possivelmente infectados por malware.
Index du contenu:
O que foi relatado pela empresa de segurança
A análise inicial divulgada pela VECERT Analyzer descreveu o evento como uma das ameaças mais significativas do setor, apontando amostras que conteriam e‑mails e senhas em texto claro, além de outros campos pessoais. Esse tipo de anúncio costuma gerar preocupação porque expõe dados que podem facilitar fraudes e tentativas de engenharia social contra investidores e clientes. No entanto, a presença de senhas legíveis costuma indicar um vetor distinto do vazamento típico em servidores corporativos.
Resposta da Binance e investigação interna
Changpeng Zhao afirmou que os arquivos de amostra continham apenas e‑mails e senhas em texto simples, sem os dados pessoais extensivos mencionados originalmente. Segundo CZ, a exchange não armazena senhas em texto puro, o que torna improvável que os dados tenham sido extraídos diretamente dos bancos de dados da plataforma. Sua equipe de segurança teria verificado as amostras e concluído que o padrão é consistente com credenciais coletadas em endpoints de usuário.
O papel dos infostealers e RATs
A VECERT complementou a avaliação destacando que o caso se assemelha a uma operação de credential stuffing alimentada por logs de infostealers. Um infostealer é um tipo de malware que varre navegadores e arquivos locais em busca de credenciais salvas, cookies e formulários preenchidos automaticamente. Quando combinado com um RAT (Remote Access Trojan), o atacante pode expandir a coleta e controlar remotamente máquinas comprometidas, criando um repositório massivo de credenciais para venda ou uso fraudulento.
Implicações práticas para usuários
O diagnóstico de que os dados vêm de endpoints comprometidos muda a resposta esperada: se a falha fosse nos servidores da corretora, seriam necessárias correções na infraestrutura. No cenário apontado pelas investigações, a responsabilidade recai mais sobre a higiene digital dos usuários. Mesmo assim, o risco permanece real, já que credenciais válidas podem permitir acessos indevidos e tentativas de fraude nos serviços onde as mesmas senhas são reutilizadas.
Boas práticas de proteção
Para reduzir exposição, especialistas recomendam não reutilizar senhas e adotar um gerenciador de senhas confiável e único por serviço. Preferir métodos de autenticação forte, como chaves físicas FIDO/U2F, em vez de SMS, ajuda a mitigar ataques mesmo quando a senha é comprometida. Também é importante varrer dispositivos com softwares antimalware, evitar extensões suspeitas no navegador e separar atividades financeiras em máquinas ou perfis distintos para diminuir a superfície de ataque.
Além das medidas pessoais, revogar sessões ativas, revisar autorizações de aplicativos e ativar revisões de segurança nas contas são passos práticos. A compreensão de termos como credential stuffing e infostealer permite aos usuários interpretar alertas semelhantes no futuro e agir antes que credenciais vazadas sejam exploradas em larga escala.