Um ator identificado na rede com o alias "daghetiaw" assegurou ter publicado uma base de dados de clientes de PcComponentes com mais de 16 milhões de registros, e vazou uma amostra de meio milhão de entradas enquanto oferecia o resto à venda. A suposta filtragem incluía desde detalhes de pedidos e endereços físicos até nomes completos, números de telefone, endereços IP, listas de desejos e conversas de suporte gerenciadas através do Zendesk, segundo a amostra que circulou em fóruns. O alarme foi imediato entre os usuários da loja online e na imprensa especializada, que começou a seguir o caso e a perguntar pelo alcance real do incidente ( BleepingComputer).
No entanto, o PcComponentes recusou que a sua infra-estrutura tenha sofrido um acesso ilegal directo. Num comunicado oficial, a empresa afirma que, após rever os seus sistemas, não encontraram indícios de intrusão nas suas bases de dados internas ou nos seus sistemas internos e que o número de 16 milhões de contas em causa não corresponde ao número de contas activas que operam. Além disso, a assinatura sublinha que não armazena nos seus sistemas de dados financeiros nem palavras-passe em texto plano, e que a quantidade de contas realmente comprometidas é muito menor do que afirma o atacante ( comunicado oficial do PcComponentes).
Apesar dessa negação de uma intrusão direta, a empresa confirmou ter detectado um ataque de tipo credential stuffing contra sua plataforma. Neste tipo de campanhas, os atacantes automatizam tentativas de acesso usando combinações de e-mails e senhas obtidas em vazamentos ou roubadas por malware; a ideia é aproveitar o costume estendido de reutilizar credenciais em vários serviços. PcComponentes reconheceu que se registaram enormes tentativas de acesso com credenciais recolhidas em outras fugas e que, em alguns casos, essas tentativas deram lugar a acessos a contas concretas.
A pesquisa de assinaturas de inteligência de ameaças aportou mais contexto: Hudson Rock, que analisou os exemplos difundidos pelo ator malicioso, encontrou que os e-mails presentes na amostra coincidiam com registros de infostealers - malware projetado para roubar credenciais e outros dados da equipe infectado -, alguns deles com traços que datavam até 2020. Hudson Rock explica como os registros de infostealers permitem montar ataques de credential stuffing muito convincentes porque reproduz credenciais efetivas obtidas em outros incidentes ( Análise de Hudson Rock).
Segundo a própria PcComponentes, as informações que pode ser comprometida em um número reduzido de contas incluem nome e sobrenomes, número de identificação nacional, endereços, endereços IP, e-mails e telefones. A empresa tem pontuado que não detectou extração maciça de bases de dados desde seus sistemas, mas acessos pontuais associados ao abuso de credenciais reutilizadas.
Como resposta imediata, a plataforma tem ativado uma bateria de medidas técnicas: implementação de CAPTCHA nos formulários de acesso para dificultar as máquinas, forçado ao fechamento de todas as sessões ativas e imposição do uso de autenticação de duplo fator (2FA) para poder voltar a iniciar sessão. Os usuários afetados verão como suas sessões são desconectadas e, se não tivessem 2FA, eles serão obrigados a configurar antes de recuperar o acesso. Além disso, a empresa recomenda utilizar senhas únicas e robustas e utilizar gestores de senhas para evitar a reutilização.
A história ilustra dois pontos importantes sobre cibersegurança: por um lado, que não toda divulgação pública de dados implica necessariamente uma brecha interna do fornecedor; por outro, que a prática estendida de usar a mesma senha em múltiplos serviços é uma das vias mais simples para que um roubo de credenciais em um lugar diferente acabe provocando acessos não autorizados na conta de um comércio. Para entender a mecânica destes ataques com mais detalhe, existem explicações técnicas e guias sobre credential stuffing que são úteis, por exemplo na documentação divulgativa da Cloudflare ( Cloudflare: Credential stuffing).
Se você se preocupa com a segurança da sua conta com PcComponentes ou com qualquer outro serviço online, a recomendação prática é simples, mas eficaz: muda senhas que você tenha reutilizado, ativa a autenticação em dois passos sempre que estiver disponível e vigia movimentos estranhos nas suas comunicações e nas suas contas bancárias. Além disso, convém verificar se o seu correio apareceu em vazamentos conhecidos por serviços de reputação de credenciais e ativar avisos de acesso quando a plataforma o permita.
Neste caso específico, vários meios especializados solicitaram a PcComponentes números mais precisos sobre o número de contas em causa e os detalhes da investigação, mas no momento da elaboração deste artigo não havia resposta pública adicional que clarificasse o alcance exacto. Resta ver se as amostras filtradas provêm em sua totalidade de contas comprometidas por credential stuffing a partir de registros de infostealers ou se, como sustenta a empresa, parte da informação foi reclassificada ou descontextualizada pelo autor da filtragem.
Entretanto, a situação serve como lembrete: plataformas podem reforçar seus controles, mas a primeira linha de defesa ainda está nas práticas dos usuários. Senhas únicas, gestores de chaves e ativação do 2FA reduzem muito a probabilidade de um incidente similar acabar com o acesso indevido a contas pessoais.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...