FortiBleed: Vazamento Massivo Expõe Mais de 73.000 Dispositivos Fortinet
Uma vasta coleção de credenciais de acesso a dispositivos Fortinet foi descoberta online, afetando mais de 73.000 sistemas globais. A descoberta, apelidada de FortiBleed, levanta sérias preocupações sobre a segurança de infraestruturas críticas e grandes corporações.
MundiX News·18 de junho de 2026·6 min de leitura·👁 2 views
Especialistas em segurança da informação (IB) relataram a descoberta de uma das maiores compilações conhecidas de credenciais de acesso para dispositivos Fortinet. Pesquisadores apontam para 73.000 dispositivos comprometidos em todo o mundo, com organizações de renome como Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Chevron e outras figurando entre as afetadas.
O problema foi inicialmente divulgado pelo renomado especialista em IB Bob Diachenko, que encontrou um servidor com um banco de dados contendo URLs de dispositivos FortiGate e Fortinet VPN, além de logins, endereços de e-mail e senhas em texto claro. "Arquivos como este (veja a captura de tela abaixo) listam milhares de dispositivos de fornecedores líderes. Apenas esta instância contém 21.634 nomes de domínio – de Chevron à própria Fortinet. Para todos, são fornecidas senhas potencialmente funcionais para dispositivos FortiGate, obtidas por vários métodos", alertou o especialista.
Posteriormente, Diachenko declarou que a operação provavelmente foi realizada por um grupo de língua russa, que coletava credenciais para SSL VPN em dispositivos FortiGate. Segundo ele, os atacantes realizaram cerca de 1,16 bilhão de tentativas de adivinhação de credenciais contra 320.777 sistemas FortiGate e mais 2,1 bilhões de tentativas contra 163.650 servidores Microsoft SQL Server. O pesquisador afirma que os atacantes interceptavam hashes de autenticação SSL VPN, os quebravam usando um cluster de 45 GPUs rodando Hashtopolis e, em seguida, utilizavam os acessos obtidos para penetrar em ambientes internos do Active Directory. De acordo com Diachenko, essa informação foi obtida a partir de vários artefatos que os próprios atacantes deixaram acidentalmente no servidor exposto: logs, scripts, histórico de comandos e outros dados de serviço.
O pesquisador alerta que algumas organizações foram completamente comprometidas. Em particular, ele relata que documentos secretos foram roubados de um empreiteiro de defesa da OTAN não identificado na Turquia. A empresa Hudson Rock, que recebeu o dump de Diachenko para análise, apelidou essa descoberta de FortiBleed e a descreveu como uma das maiores coleções conhecidas de credenciais associadas à Fortinet. As estimativas dos pesquisadores indicam que a base de dados contém informações sobre 73.932 URLs únicas de dispositivos de 194 países e afeta 21.632 domínios. O dump inclui organizações como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, além de inúmeras agências governamentais e operadoras de infraestrutura crítica. A Índia, os Estados Unidos, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e os Emirados Árabes Unidos registraram o maior número de dispositivos afetados.
O especialista em IB Kevin Beaumont verificou independentemente parte dos dados e confirmou sua autenticidade. O pesquisador conseguiu verificar que alguns logins e senhas realmente funcionavam, e que muitos dispositivos utilizavam versões recentes do FortiOS. Beaumont também observou que os endereços IP do novo vazamento não coincidiam com os dados publicados em 2025 pelo grupo Belsen Group, o que indica uma fonte de comprometimento diferente. Beaumont observa que a origem dessa informação é particularmente preocupante. Em sua opinião, os dados se assemelham mais a configurações exportadas de dispositivos Fortinet, pois contêm informações que normalmente só estariam disponíveis dentro de arquivos de configuração. No entanto, ainda não está claro como os atacantes conseguiram obter esses arquivos: através de vulnerabilidades antigas, um bug desconhecido ou outro vetor de ataque. De acordo com Beaumont, que cita estatísticas do Shodan, o dump encontrado na rede pode abranger aproximadamente metade de todos os firewalls Fortinet acessíveis pela internet, e a maioria desses dispositivos ainda está conectada à rede.
Especialistas recomendam que os administradores troquem imediatamente as senhas dos serviços VPN e das interfaces administrativas Fortinet, ativem a autenticação multifator, verifiquem os logs em busca de atividades suspeitas e garantam que as credenciais dos funcionários não foram comprometidas. A adoção dessas medidas é crucial para mitigar os riscos associados a este massivo vazamento de dados.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas em segurança da informação (IB) relataram a descoberta de uma das maiores compilações conhecidas de credenciais de acesso para dispositivos Fortinet. Pesquisadores apontam para 73.000 dispositivos comprometidos em todo o mundo, com organizações de renome como Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Chevron e outras figurando entre as afetadas.
O problema foi inicialmente divulgado pelo renomado especialista em IB Bob Diachenko, que encontrou um servidor com um banco de dados contendo URLs de dispositivos FortiGate e Fortinet VPN, além de logins, endereços de e-mail e senhas em texto claro. "Arquivos como este (veja a captura de tela abaixo) listam milhares de dispositivos de fornecedores líderes. Apenas esta instância contém 21.634 nomes de domínio – de Chevron à própria Fortinet. Para todos, são fornecidas senhas potencialmente funcionais para dispositivos FortiGate, obtidas por vários métodos", alertou o especialista.
Posteriormente, Diachenko declarou que a operação provavelmente foi realizada por um grupo de língua russa, que coletava credenciais para SSL VPN em dispositivos FortiGate. Segundo ele, os atacantes realizaram cerca de 1,16 bilhão de tentativas de adivinhação de credenciais contra 320.777 sistemas FortiGate e mais 2,1 bilhões de tentativas contra 163.650 servidores Microsoft SQL Server. O pesquisador afirma que os atacantes interceptavam hashes de autenticação SSL VPN, os quebravam usando um cluster de 45 GPUs rodando Hashtopolis e, em seguida, utilizavam os acessos obtidos para penetrar em ambientes internos do Active Directory. De acordo com Diachenko, essa informação foi obtida a partir de vários artefatos que os próprios atacantes deixaram acidentalmente no servidor exposto: logs, scripts, histórico de comandos e outros dados de serviço.
O pesquisador alerta que algumas organizações foram completamente comprometidas. Em particular, ele relata que documentos secretos foram roubados de um empreiteiro de defesa da OTAN não identificado na Turquia. A empresa Hudson Rock, que recebeu o dump de Diachenko para análise, apelidou essa descoberta de FortiBleed e a descreveu como uma das maiores coleções conhecidas de credenciais associadas à Fortinet. As estimativas dos pesquisadores indicam que a base de dados contém informações sobre 73.932 URLs únicas de dispositivos de 194 países e afeta 21.632 domínios. O dump inclui organizações como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, além de inúmeras agências governamentais e operadoras de infraestrutura crítica. A Índia, os Estados Unidos, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e os Emirados Árabes Unidos registraram o maior número de dispositivos afetados.
O especialista em IB Kevin Beaumont verificou independentemente parte dos dados e confirmou sua autenticidade. O pesquisador conseguiu verificar que alguns logins e senhas realmente funcionavam, e que muitos dispositivos utilizavam versões recentes do FortiOS. Beaumont também observou que os endereços IP do novo vazamento não coincidiam com os dados publicados em 2025 pelo grupo Belsen Group, o que indica uma fonte de comprometimento diferente. Beaumont observa que a origem dessa informação é particularmente preocupante. Em sua opinião, os dados se assemelham mais a configurações exportadas de dispositivos Fortinet, pois contêm informações que normalmente só estariam disponíveis dentro de arquivos de configuração. No entanto, ainda não está claro como os atacantes conseguiram obter esses arquivos: através de vulnerabilidades antigas, um bug desconhecido ou outro vetor de ataque. De acordo com Beaumont, que cita estatísticas do Shodan, o dump encontrado na rede pode abranger aproximadamente metade de todos os firewalls Fortinet acessíveis pela internet, e a maioria desses dispositivos ainda está conectada à rede.
Especialistas recomendam que os administradores troquem imediatamente as senhas dos serviços VPN e das interfaces administrativas Fortinet, ativem a autenticação multifator, verifiquem os logs em busca de atividades suspeitas e garantam que as credenciais dos funcionários não foram comprometidas. A adoção dessas medidas é crucial para mitigar os riscos associados a este massivo vazamento de dados.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
