Códigos de uso único para acessar e recuperar contas da Microsoft estão sendo enviados para diferentes endereços de e-mail, mesmo sem solicitação, conforme relatos compartilhados com o Canaltech. Os e-mails, com o assunto “Seu código de uso único”, informam que a empresa recebeu uma solicitação para um código, seguido de um código de seis dígitos. Essas mensagens são enviadas do endereço account-security-noreply@accountprotection.microsoft.com e não contêm links maliciosos.
Relatos de usuários e o alerta de segurança
A Microsoft confirmou que se trata de um contato legítimo da “Equipe de Contas da Microsoft”. Os envios têm como alvo diferentes provedores, mas são mais frequentes entre usuários do Gmail. Em um caso, um código foi enviado para um único e-mail do Outlook, enquanto outro usuário relatou ter recebido o código em três endereços diferentes do Gmail. Todos os endereços que receberam as notificações estavam em listas de vazamentos de dados, conforme registrado no Have I Been Pwned.
No fórum oficial do Microsoft Build 2026, brasileiros relataram que receberam os e-mails inesperadamente. Um usuário questionou: “Eu não solicitei esse código” em um tópico aberto em 16 de maio. Outros usuários de diferentes países, como os do Reddit, também reportaram a situação, afirmando que o e-mail parecia legítimo.
Possível ataque de credential stuffing
A Microsoft explicou que os códigos podem ser gerados sem solicitação quando alguém tenta acessar a conta indevidamente. O gerente de Engenharia de Segurança da Check Point Software Brasil, Fernando de Falchi, indicou que o comportamento alarmante se refere a um potencial ataque de credential stuffing em larga escala. Essa técnica explora credenciais obtidas em vazamentos de dados para invadir contas.
Quando o e-mail e a senha estão corretos, a Microsoft detecta logins de locais ou IPs diferentes, enviando o código de verificação ao dono da conta. Embora isso não signifique que a conta foi comprometida, é um alerta de que a combinação de e-mail e senha está sendo testada ativamente.
Orientações da Microsoft para segurança
A notificação não implica que a conta foi acessada, pois é necessário inserir o código para concluir o login. A Microsoft aconselha: “Não responda a códigos não solicitados”. Se alguém estiver tentando acessar a conta, sem o código, a conta permanece segura. O gerente da Check Point Software Brasil reforça que a notificação é um aviso de que as credenciais estão sendo testadas.
Opinião
É essencial que os usuários fiquem atentos a essas notificações e adotem medidas de segurança, como a autenticação em múltiplos fatores, para proteger suas contas de possíveis invasões.
