O que é Extended Threat Intelligence (XTI)?

Extended Threat Intelligence (XTI) é uma abordagem de segurança que monitora ameaças fora do perímetro da organização — como dark web, fóruns clandestinos, bases de credenciais vazadas e superfície de ataque externa. Ao contrário de ferramentas tradicionais como SIEM e firewall, que monitoram apenas o ambiente interno, o XTI detecta riscos antes que se tornem incidentes.

Como o BreachFinder monitora credenciais vazadas?

O BreachFinder coleta dados de dark web, fóruns clandestinos, logs de infostealer e bases de credenciais comprometidas — indexando mais de 15 bilhões de registros. Quando credenciais associadas ao domínio da sua organização são detectadas, o sistema gera um alerta priorizado em menos de 1 hora, com contexto de impacto e recomendação de ação.

Quanto tempo leva para detectar uma credencial exposta?

O BreachFinder emite alertas em menos de 1 hora após a detecção de uma credencial exposta. A média do setor para detecção de violações é de 194 dias (IBM 2024). Essa diferença significa que sua equipe pode agir muito antes de um atacante explorar a exposição.

O BreachFinder ajuda com conformidade com a LGPD?

Sim. O BreachFinder gera evidências estruturadas de monitoramento e incidentes que podem ser utilizadas em auditorias de LGPD, ISO 27001 e outros frameworks de conformidade. O histórico de alertas e relatórios executivos fornece documentação pronta para apresentação a reguladores e comitês de auditoria.

Qual a diferença entre o BreachFinder e um SIEM?

Um SIEM monitora logs e eventos internos da organização — endpoints, servidores e redes. O BreachFinder monitora o ambiente externo: dark web, credenciais vazadas, phishing, vulnerabilidades expostas e superfície de ataque. As duas ferramentas são complementares: o SIEM detecta incidentes internos, o BreachFinder detecta exposições externas antes que se tornem incidentes.

O BreachFinder tem programa de parceiros para MSSPs?

Sim. O BreachFinder oferece um programa de parceiros para MSSPs, consultorias de segurança e integradores de TI. O programa inclui entrega white-label, painel multi-tenant para gestão de múltiplos clientes, modelos flexíveis de receita e suporte dedicado da equipe XPSec.

Credential stuffing: por que senhas antigas vazadas ainda ameaçam sua empresa hoje

Em 2012, o LinkedIn sofreu uma violação e cerca de 6 milhões de hashes de senhas foram publicados online. Quatro anos depois, em 2016, tornou-se público que o número real eram 117 milhões de contas comprometidas. Hoje, em 2026, essas credenciais ainda circulam em bases de dados do underground. E ainda são usadas em ataques.

O motivo é simples: pessoas reutilizam senhas. E as empresas onde essas pessoas trabalham frequentemente não sabem que estão expostas por causa disso.

O que é credential stuffing

Credential stuffing é um ataque automatizado que testa listas de credenciais comprometidas (usuário e senha) em serviços de acesso online com o objetivo de identificar contas válidas. A premissa é a reutilização de senhas: se alguém usou a mesma senha no LinkedIn em 2012 e no sistema de VPN da empresa onde trabalha hoje, essa credencial pode funcionar.

A diferença fundamental entre credential stuffing e força bruta é que o stuffing não tenta adivinhar senhas. Ele usa credenciais reais que já foram comprometidas em algum momento. Isso torna o ataque muito mais eficiente, pois elimina o esforço de quebrar a senha.

Com bilhões de pares de credencial disponíveis em bases como "Collection #1" (772 milhões de registros) e compilações similares que circulam no underground, um atacante tem material praticamente infinito para testar.

Como o ataque funciona tecnicamente

O processo começa com a obtenção de uma lista de credenciais. Essas listas são vendidas, compartilhadas gratuitamente em fóruns, ou compiladas pelo próprio atacante a partir de múltiplas bases vazadas.

Em seguida, o atacante configura ferramentas automatizadas como o Sentry MBA, OpenBullet ou SNIPR, que são softwares projetados especificamente para esse tipo de ataque. Essas ferramentas permitem configurar o alvo, o formato das requisições de autenticação, e estratégias para contornar medidas de proteção como CAPTCHAs e limitação de taxa.

O atacante então distribui o ataque através de redes de proxies residenciais para parecer que as tentativas vêm de múltiplos usuários legítimos em vez de uma única fonte. Isso dificulta enormemente o bloqueio por IP.

O resultado: uma lista de contas que funcionam no serviço alvo. Para cada uma, o atacante sabe o nível de acesso obtido. As contas com acesso privilegiado são separadas para uso próprio ou revenda.

Por que as taxas de sucesso são alarmantes

Estudos de caso publicados por organizações como o OWASP e pesquisadores de segurança sugerem que taxas de sucesso de 0,1% a 2% são comuns em ataques de credential stuffing. Isso pode parecer baixo, mas contra uma lista de 100 milhões de credenciais testadas em um serviço com milhões de usuários, mesmo 0,1% representa 100.000 contas comprometidas.

Para uma empresa específica, a lógica é diferente mas igualmente preocupante. Se 500 funcionários usam o mesmo sistema de acesso remoto, e 5 deles reutilizaram em algum momento senhas que foram comprometidas em vazamentos anteriores, um ataque de credential stuffing tem excelentes chances de comprometer pelo menos essas 5 contas.

Quais sistemas são mais visados

Portais de VPN e acesso remoto: São o principal alvo corporativo. O acesso bem-sucedido aqui coloca o atacante diretamente no ambiente interno da organização.

Portais de email corporativo: Acesso ao email de um funcionário pode revelar uma quantidade enorme de informação sensível e pode ser usado como ponto de partida para ataques mais sofisticados como Business Email Compromise (BEC).

Aplicações SaaS: Ferramentas corporativas hospedadas na nuvem como CRMs, ERPs e plataformas de colaboração são alvos frequentes. Muitas dessas ferramentas têm APIs que facilitam testes automatizados.

Plataformas de desenvolvimento: Repositórios de código, ferramentas de CI/CD e consoles de nuvem pública são alvos de alto valor porque frequentemente contêm credenciais de outros sistemas embutidas em código ou configurações.

A relação com senhas antigas e vazamentos históricos

Um equívoco comum é pensar que apenas vazamentos recentes são relevantes. A verdade é que senhas mudam com muito menos frequência do que deveriam. Uma senha criada em 2015 pode estar sendo usada no mesmo sistema em 2026, especialmente em organizações sem políticas de rotação de senha bem implementadas.

Mais importante: quando um funcionário muda a senha de um sistema após um vazamento, frequentemente não muda em todos os outros sistemas onde usa a mesma ou uma variação próxima. O padrão "senha123!" vira "senha!123" ou "senha2024!" em vez de uma senha completamente diferente e única para cada sistema.

Atacantes sofisticados sabem disso. As ferramentas modernas de credential stuffing incluem funcionalidades de geração de variações de senha, testando não apenas a senha exata do vazamento, mas variações comuns como adicionar números no final, capitalizar a primeira letra, ou substituir letras por caracteres especiais.

Como o BreachFinder ajuda a mitigar o risco de credential stuffing

A mitigação eficaz começa pelo inventário de exposição. O BreachFinder monitora continuamente se credenciais associadas aos domínios de email da organização monitorada aparecem em bases comprometidas e no underground.

Quando uma credencial é detectada, a organização sabe:

Qual email foi comprometido, em qual vazamento ou fonte a credencial apareceu, qual a data estimada da exposição, e qual a senha ou hash de senha que está exposto.

Com essa informação, a equipe de segurança pode forçar a troca de senha para o usuário específico, verificar se a senha exposta é usada em outros sistemas corporativos, e auditar os logs de acesso para identificar se já houve tentativas ou acessos bem-sucedidos usando aquela credencial.

Além do monitoramento reativo ao vazamento, o BreachFinder detecta padrões de credenciais que sugerem reutilização sistemática, permitindo orientar campanhas de conscientização ou políticas mais restritivas para usuários específicos com histórico de exposição.

Medidas técnicas complementares

Monitoramento de credenciais comprometidas é a camada de detecção. Mas medidas técnicas reduzem o impacto mesmo quando credenciais comprometidas existem:

Autenticação multifator: O MFA não impede que uma credencial roubada seja testada, mas impede que um login bem-sucedido se transforme em acesso real. É a medida com maior impacto para mitigar credential stuffing.

Detecção de comportamento anômalo: Logins de IPs não usuais, em horários atípicos ou com velocidade impossível para um usuário humano (indicando automação) podem ser detectados e bloqueados ou desafiados com verificação adicional.

Políticas de senha únicas: Forçar senhas únicas para cada sistema corporativo elimina a dependência de como o funcionário gerencia suas senhas pessoais.

Monitoramento de tentativas de autenticação: Logs de autenticação com análise de padrões podem revelar campanhas de stuffing em andamento pelos volumes atípicos de tentativas falhas.

Conclusão

Credential stuffing existe porque a reutilização de senhas existe. Enquanto humanos continuarem usando as mesmas senhas em múltiplos sistemas, e enquanto empresas continuarem sofrendo violações que expõem essas senhas, o ataque continuará sendo eficaz.

A defesa começa pelo conhecimento: saber quais credenciais dos seus usuários estão expostas permite agir preventivamente. Ignorar essa exposição é deixar a porta entreaberta para atacantes que testam bilhões de combinações por dia.