No mês passado, pesquisadores de segurança identificaram uma das maiores campanhas de roubo de credenciais de acesso já registradas. Credenciais são os dados de login e senha que uma pessoa usa para entrar nos sistemas de uma empresa.
Batizada de FortiBleed, a operação expôs dados de administração de aproximadamente 75 mil firewalls da fabricante Fortinet, os equipamentos que controlam a entrada e a saída de tráfego da rede, distribuídos por 194 países e afetando milhares de organizações, entre elas Samsung, Oracle, Siemens e Foxconn. Por isso, o caso se tornou um dos alertas mais concretos sobre o que está em jogo quando a segurança de uma empresa é tratada como configuração inicial, e não como gestão contínua.
O Brasil também está entre os países afetados pela campanha, o que torna o alerta diretamente relevante para as empresas brasileiras.
Para quem depende de firewalls Fortinet na proteção da rede, o caso exige atenção imediata. Para todas as demais, o FortiBleed funciona como um diagnóstico preciso do que acontece quando a proteção para em algum ponto do caminho.
A operação foi identificada pelo pesquisador Volodymyr Diachenko, que encontrou na internet um servidor do próprio grupo atacante exposto, contendo dados de login válidos de acesso remoto (a chamada VPN) e das telas de administração dos equipamentos. Em seguida, a empresa de inteligência Hudson Rock analisou os dados e confirmou que eram autênticos. O pesquisador Kevin Beaumont também verificou credenciais de organizações com as quais já havia trabalhado, reforçando a legitimidade do conjunto.
O método do grupo, identificado como de língua russa e com vários operadores, foi sofisticado na escala. Os atacantes realizaram cerca de 1,16 bilhão de tentativas de acesso contra mais de 320 mil equipamentos Fortinet. As senhas foram capturadas em formato codificado durante a conexão de acesso remoto e, depois, decifradas por tentativa e erro em massa, técnica conhecida como força bruta, usando uma central com 45 placas de vídeo dedicadas a essa tarefa. O resultado foi um conjunto de senhas funcionais para dezenas de milhares de equipamentos, em 21.632 domínios corporativos. Diante da gravidade, a CISA, agência de segurança cibernética dos Estados Unidos, emitiu alerta urgente e recomendou ação imediata a todas as organizações que usam equipamentos Fortinet.
Vale destacar que o FortiBleed é diferente do vazamento do grupo Belsen, ocorrido em 2025, que reaproveitava dados de uma falha sem correção conhecida na época, explorada em 2022, e cobria cerca de 15 mil equipamentos. O conjunto atual apresenta endereços de rede em sua maioria diferentes e dados aparentemente mais recentes, o que aumenta a relevância do alerta para organizações que já passaram por incidentes anteriores com a Fortinet e nunca trocaram suas senhas desde então.

Um detalhe muda completamente o diagnóstico do FortiBleed. Parte significativa das senhas comprometidas era complexa, não senhas simples ou padrão de fábrica. Além disso, muitas já haviam sido expostas em incidentes anteriores e nunca foram trocadas.
A Fortinet passou a guardar as senhas em um formato mais resistente a esse tipo de ataque no início de 2025. No entanto, a proteção só passou a valer para os equipamentos em que os administradores fizeram login depois de aplicar a atualização do sistema. Ou seja, os equipamentos que não passaram por esse passo continuaram no formato antigo, mais fácil de quebrar. Atualizar o sistema, sozinho, não bastou. Era preciso atualizar e executar a etapa seguinte.
Isso mostra que o FortiBleed não foi consequência de senhas fracas nem simplesmente de equipamentos desatualizados. O problema estava na ausência de uma gestão contínua das senhas e acessos. Esse tipo de falha não aparece em nenhum relatório enquanto não vira problema.
Uma senha válida de firewall não abre apenas a porta daquele equipamento. Em redes mal separadas ou com controles internos frágeis, esse acesso pode se expandir rapidamente para outros sistemas.
Com um acesso de administrador em mãos, um atacante pode entrar remotamente, alterar as regras do firewall, criar novos usuários e instalar portas de acesso escondidas para se mover de um sistema a outro dentro da rede. Além disso, a Hudson Rock descreve o conjunto de dados como um catálogo organizado por setor, faturamento e país, formato típico dos mercados clandestinos em que grupos de sequestro de dados (ransomware) compram o acesso inicial às vítimas. Não é material coletado por curiosidade. É infraestrutura comercial de crime.
Em outras palavras, as senhas coletadas na campanha FortiBleed não são troféu. São produto à venda. E enquanto os equipamentos permanecerem conectados com as mesmas senhas, o risco de uso por outros grupos continua presente.
O FortiBleed não explorou uma vulnerabilidade nova. Não há sequer uma falha de software catalogada associada à campanha. O que os atacantes exploraram foi a combinação de três condições: telas de administração expostas à internet, senhas antigas nunca trocadas e ausência de autenticação em duas etapas.
Cada uma dessas condições, isolada, já representa risco. Combinadas, formam exatamente o ambiente que esse tipo de operação industrializada procura. A escala da campanha, com mais de um bilhão de tentativas de acesso, só é possível porque o processo é altamente automatizado. Os atacantes não escolhem alvos manualmente. Eles vasculham a internet em busca de equipamentos com essas características e agem em série.
A ausência da autenticação em duas etapas (MFA) é especialmente relevante aqui. Uma senha válida sem essa segunda camada é acesso direto, sem obstáculo, sem alerta e sem janela para intervenção. Em ambientes onde a autenticação em duas etapas não está ativa nos acessos externos, a diferença entre ter a senha certa e estar dentro da rede é zero.
Para quem usa equipamentos Fortinet, as recomendações são claras. É preciso trocar todas as senhas de acesso remoto e de administração, atualizar o sistema do equipamento para a versão mais recente e fazer novo login de todos os administradores depois da atualização. Além disso, vale restringir o acesso de administração a endereços de rede confiáveis, ativar a autenticação em duas etapas de forma obrigatória em todos os pontos de acesso e revisar os registros de acesso em busca de sessões fora do padrão. A Hudson Rock disponibilizou uma ferramenta gratuita para as organizações verificarem se seus domínios aparecem na base da campanha.
Para quem não usa Fortinet, o caso levanta perguntas igualmente válidas. As telas de administração dos equipamentos que ficam na fronteira com a internet estão expostas? As senhas de acesso remoto foram trocadas recentemente? A autenticação em duas etapas está ativa em todos os pontos de acesso externo? Existe monitoramento das tentativas de acesso fora do padrão?
Em qualquer cenário, segurança da informação não é uma lista de itens para marcar uma vez e arquivar. É revisão contínua, porque o ambiente muda, as ameaças evoluem e o que estava configurado corretamente há seis meses pode não estar mais.

O FortiBleed reacendeu um debate que não deveria precisar de um incidente para acontecer. Firewalls, sistemas de acesso remoto e outros equipamentos de fronteira estão entre os mais críticos da infraestrutura de uma empresa. Uma falha ali não fica contida no equipamento. Se espalha.
A diferença entre as organizações que contiveram o risco e as que ficaram expostas não estava no equipamento. Estava na disciplina operacional aplicada a ele: atualização feita e concluída, senhas trocadas, acesso restrito, autenticação em duas etapas ativa, registros monitorados. São práticas conhecidas, disponíveis e, ainda assim, ausentes em milhares de ambientes afetados pela campanha.
Esse é o ponto central para qualquer empresa que leva segurança a sério: não basta ter as ferramentas certas. É preciso operá-las com consistência ao longo do tempo.
Na Suporti, esse tipo de disciplina não é um serviço à parte. A segurança é uma camada nativa dentro de tudo que fazemos: monitoramento contínuo, revisão periódica das configurações e acompanhamento próximo do ambiente de cada cliente. O objetivo é simples: garantir que um detalhe operacional como esse não passe despercebido antes de virar problema. Porque proteger uma empresa não é instalar a ferramenta certa uma vez. É cuidar dela, com consistência, todos os dias.
Casos como o FortiBleed aparecem toda semana, e a maioria nunca vira manchete. Para receber análises como esta e entender o que elas significam para a sua empresa antes que virem problema, assine a newsletter da Suporti.