No dia 17 de junho de 2026, o investigador de segurança Bob Diachenko encontrou um servidor exposto na Internet. Não era uma base de dados qualquer — era o back-end operacional de um grupo de cibercrime que tinha passado meses a recolher credenciais de firewalls Fortinet por todo o mundo. O que ele descobriu dentro desse diretório aberto (scripts de ataque, cron jobs, bash histories, logs de teledetecção) revelou a maior campanha de roubo de credenciais Fortinet alguma vez documentada. Chamaram-lhe FortiBleed.
A dimensão é assustadora: **73.932 firewalls FortiGate comprometidos em 194 países**, abrangendo **21.632 domínios únicos**. Kevin Beaumont, uma das vozes mais respeitadas em segurança de redes, analisou os dados de forma independente e confirmou que as credenciais são reais — e muitas continuam válidas. «Os dados são legítimos. São cerca de 75 mil dispositivos. Quase todos ainda estão online», escreveu Beaumont.
Os números do ataque são de escala industrial: **1,16 mil milhões de tentativas de brute-force** contra **320.777 alvos FortiGate**, mais **2,1 mil milhões de tentativas** contra **163.650 servidores Microsoft SQL**. Para descodificar as palavras-passe, os atacantes usaram um cluster de **45 GPUs** gerido pelo Hashtopolis, um software open-source de cracking de hashes.
O FortiBleed é a maior campanha de roubo de credenciais Fortinet alguma vez documentada, com 73.932 firewalls comprometidas em 194 países.
Quem está na lista?
O ficheiro de credenciais lê como um índice da Fortune Global 500. Entre os nomes confirmados pela Hudson Rock (que recebeu o dataset de Diachenko e fez a sua própria análise) estão **Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, Lenovo, PwC, Accenture e Oracle** — além de dezenas de agências governamentais e operadores de infraestruturas críticas. O dataset incluía, para cada organização, comentários com o setor de atividade, receita e número de funcionários — informação usada para planear os próximos alvos.
Os setores mais afetados são **telecomunicações, serviços IT, serviços financeiros, administração pública, saúde, educação e indústria transformadora**. Por geografia, os países com maior número de dispositivos comprometidos são Índia, Estados Unidos, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e Emirados Árabes Unidos.
Como entraram?
O método não foi uma vulnerabilidade zero-day espetacular. O grupo — descrito como **russofóno multi-operador** — usou uma abordagem mais sinistra: combinaram credenciais de fugas anteriores da Fortinet (incluindo a fuga Belsen Group de 2022, que expôs cerca de 15 mil dispositivos) com palavras-passe capturadas por infostealers em endpoints, e testaram-nas em massa contra firewalls expostas. As palavras-passe complexas de 25 caracteres? Irrelevantes, se foram capturadas num keylogger antes de serem encriptadas.
A outra fonte foram hashes de autenticação SSL VPN intercetadas, descodificadas offline no cluster de GPUs. Beaumont notou um detalhe técnico crucial: o dataset continha endereços de email associados a contas Fortinet — informação que não é exposta através de uma interface de login SSL VPN normal, só acessível através de ficheiros de configuração exportados dos próprios dispositivos. Isto sugere que os atacantes conseguiram configs completas, não apenas credenciais avulso.
O pipeline do FortiBleed combinou scanning de firewalls expostas, credential stuffing de fugas anteriores e cracking de hashes SSL VPN num cluster de 45 GPUs.
Compromissos totais confirmados
Diachenko confirmou que múltiplas organizações no **Japão, Taiwan, Vietname, Iraque e Turquia** foram completamente comprometidas — os atacantes estabeleceram persistência e moveram-se lateralmente para além do dispositivo Fortinet. O caso mais grave é o de um **empreiteiro de defesa da NATO na Turquia**, de onde os atacantes alegadamente roubaram documentos classificados.
A Fortinet, contactada pela BleepingComputer, respondeu que a sua investigação indica que os dados são «uma redistribuição de informação de incidentes anteriores, bem como brute-forcing de credenciais, e não estão relacionados com qualquer incidente ou aviso recente». Os especialistas recebem esta resposta com cepticismo: se as credenciais ainda funcionam em 75 mil firewalls online, a origem é quase irrelevante.
A Hudson Rock criou uma **ferramenta gratuita de verificação** onde qualquer organização pode confirmar se o seu domínio aparece no dataset. As recomendações são imediatas: rodar todas as credenciais VPN e administrativas, ativar MFA em todas as gateways externas, restringir o acesso às interfaces de gestão a IPs internos de confiança e auditir os logs de gateway para sessões suspeitas.
«A lição do FortiBleed é simples: a complexidade das palavras-passe não importa quando os atacantes já as têm. O que importa é a higiene básica — MFA, rotação regular e, acima de tudo, não expor interfaces de gestão à Internet. Isto não é um exploit sofisticado. É falha de configuração elementar.»
— Kevin Beaumont, investigador de cibersegurança
Portugal tem adoção significativa de Fortinet em telecomunicações, banca e administração pública — o CNCS deverá emitir alerta nos próximos dias.
Para os leitores Portugueses, este alerta é particularmente relevante. A adoção de infraestrutura Fortinet em Portugal é significativa — operadoras de telecomunicações (MEO, NOS, Vodafone), banca e administração pública (câmaras municipais, hospitais, serviços municipalizados) utilizam FortiGate como firewall de perímetro. O Centro Nacional de Cibersegurança (CNCS) deverá emitir um alerta nos próximos dias. Qualquer organização portuguesa com dispositivos Fortinet deve verificar já se está no dataset e agir em conformidade.
Feito por humanos — Portugal Binário
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!